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Preface I 



L'internet, on le lit souvent, est une jungle, un lieu plein de dangers sournois, ta- 
pis et prets a frapper fort, peniblement et durablement. On aura interet a ne pas 
s'attarder sur cette banalite car la jungle est l'endroit ou Ton doit obligatoirement 
vivre. En revanche, tout comme pour les MST (maladies sexuellement transmis- 
sibles), etre ignare, ne pas vouloir apprecier les dangers, persister a les ignorer sont 
des attitudes blamables. 

Ce qui est moins evident est qu'un ordinateur est un assemblage heteroclite, histo- 
riquement enchevetre, de materiels et de logiciels dont les innombrables interac- 
tions sont au-dela de l'humainement apprehendable. Un ordinateur est tout autant 
une jungle et cette jungle s'etend au fil de ses expositions successives a Internet. 

Comme dans tant d'autres domaines societaux, la « securite » est reputee etre la 
solution a ces problemes ! 

Mais au-dela de bonnement nommer cette solution, d'esperer un monde meilleur 
ou Ton pourrait enfin jouir de cette fameuse securite, il faut s'interroger sur son 
existence, sa nature, ses constituants, ses conditions d'apparition ou de dispari- 
tion, son developpement, etc. C'est precisement a ces interrogations que repond 
l'ouvrage de Laurent Bloch et Christophe Wolfhugel. 

Un tel etat de grace ne s'obtient ni par decret, ni par hasard. C'est le resultat 
d'une confluence opiniatre de comportements et de solutions techniques. Ces der- 
nieres sont presentes depuis l'article seminal de Diffie et Hellman [40] en 1976 
qui a permis de resoudre le probleme, ouvert depuis des millenaires : comment 
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deux personnes, ne se connaissant au prealable pas, peuvent-elles elaborer un se- 
cret commun a elles seules en n'ayant echange que des messages publics ? Cles 
publiques/privees, certificat, signature electronique sont les plus connues des in- 
novations qui en decoulent. Notariat electronique, respect de l'anonymat (reseau 
TOR), crypto-virus blindes en sont d'autres plus confidentielles aujourd'hui. 

Si, des maintenant, des solutions techniques existent pour un monde meilleur, 
c'est sur le plan humain que peine le salut a s'instaurer. On ne peut souhaiter un 
monde sur que si Ton prend la mesure de l'actuelle insecurite. On ne peut esperer 
un monde plus sur que si Ton sait qu'il est realisable, que si Ton est pret a tolerer 
des changements personnels importants de comportement, que si l'entiere societe 
humaine stimule 1' adoption de ces nouvelles regies et veille a les adapter au rythme 
des ineluctables evolutions. 

La securite n'est qu'un sentiment dont l'eclosion est due a la conjonction de fac- 
teurs techniques et societaux. La mise en place d'un contexte favorable a ce sen- 
timent est complexe, tant sont grandes les difflcultes de realisation et les op- 
positions entre les differentes inclinations libertaires, dirigistes ou Big Brother- 
iennes. L'anonymat est-il autorise sur Internet ? Puis-je mettre mon ordinateur en 
conformite avec mes desirs securitaires ? Comment retribuer une creation intellec- 
tuelle incarnee numeriquement (sic) et dont la duplication est quasiment gratuite ? 
Devons-nous laisser l'offre des industriels diriger notre morale et notre liberte ? 

L' excellent livre de Laurent Bloch et Christophe Wolfhugel a pour theme la se- 
curite. Loin de s'appesantir sur les seuls aspects techniques ou de broder autour de 
banalites comme « la securite parfaite n'existe pas » ou encore « avoir liste les me- 
naces garantit une eternelle quietude », ce livre est a lire et a mediter pour tous ceux 
qui y croient et tous ceux qui n'y croient pas afin que tous puissent participer intel- 
ligemment a l'avenement de l'ere numerique. Cet espace incommensurablement 
democratique (les internautes votent avec leur souris) que realise l'interconnexion 
de toutes les puces calculantes, nous avons une chance de modeler son avenir tout 
autant que de le transformer en le plus effroyablement flique lieu communautaire. 
A nous de choisir a la lueur de ce que nous en dit cet ouvrage. 



Christian Queinnec 

Professeur a l'Universite 
Pierre et Marie Curie 



Preface II 



Alors que la securite des systemes d'information etait un produit de luxe, elle tend 
aujourd'hui a devenir un moyen d'apporter la confiance au cceur des affaires. 

Cet ouvrage en rappelle les bases techniques et presente une perspective nouvelle, 
pertinente et utile a tous les acteurs du secteur de la securite des systemes d'infor- 
mation, par deux esprits vifs, qui ont prouve, par leur carriere et leurs realisations, 
leur independance et leur competence. 



Herve Schauer 

Consultant en securite 

des systemes d'informations 

depuis 1989 
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Avant-propos 



Ce livre procurera au lecteur les connaissances de base en securite informatique 
dont aucun utilisateur d'ordinateur ni aucun internaute ne devrait etre depourvu, 
qu'il agisse dans le cadre professionnel ou a titre prive. Pour cela nous lui propo- 
serons quelques pistes qui devraient l'aider a trouver son chemin dans un domaine 
en evolution rapide ou rinformation de qualite est parfois difficile a distinguer du 
vacarme mediatique et des rumeurs sans fondement. 

Plutot que de proposer des recettes a appliquer telles quelles, et qui dans un do- 
maine en evolution rapide seraient de toute facon vouees a une prompte peremp- 
tion, nous presenterons des axes de reflexion accompagnes d'exemples techniques. 

L'Internet est au cceur des questions de securite informatique : nous rappellerons 
brievement ses principes de fonctionnement, places sous un eclairage qui fera ap- 
paraitre les risques qui en decoulent. Pas de surete de fonctionnement sans un bon 
systeme d'exploitation : nous passerons en revue les qualites que nous sommes en 
droit d'en attendre. Nous examinerons les differentes formes de malfaisance in- 
formatique, sans oublier les aspects organisationnels et sociaux de la securite. Pour 
les entreprises, nous proposerons quelques modeles de documents utiles a l'enca- 
drement des activites informatiques de leur personnel. 

La protection des systemes d'information repose aujourd'hui sur la cryptographie : 
nous donnerons un expose aussi simple que possible des principes de cette science, 
qui permette au lecteur qui le souhaite d'en comprendre les bases mathematiques, 
cependant que celui qui serait rebute par ces aspects pourra en premiere lecture 
sauter sans (trop) de dommage ces developpements. 



Securite Informatique 



Nous terminerons par un tour d'horizon des nouvelles possibilites de l'lnternet, 
qui engendrent autant de nouveaux risques : echange de fic\n&rs peer to peer, tele- 
phonie sur IP avec des systemes tels que Skype. 

Les lignes qui suivent sont avant tout le fruit de nos experiences professionnelles 
respectives, notamment dans les fonctions de responsable de la securite des sys- 
temes d'information de l'lnstitut National de la Sante et de la Recherche Medicale 
(INSERM) pour Fun, d' expert des protocoles de l'lnternet au sein de la division 
Orange Business Services de France Telecom pour l'autre. 

L'informatique en general, ses domaines techniques plus que les autres, et celui de 
la securite tout particulierement, sont envahis de « solutions », que des entreprises 
s'efforcent de vendre a des clients qui pourraient etre tentes de les acheter avant 
d' avoir identifie les problemes qu'elles sont censees resoudre. II est vrai que la 
demarche inductive est souvent fructueuse dans les domaines techniques, et que 
la demonstration d'une solution ingenieuse peut faire prendre conscience d'un 
probleme, et du coup aider a sa solution. Mais l'induction ne peut trouver son 
chemin que dans un esprit deja feconde par quelques interrogations : le but des 
lignes qui suivent est de contribuer a cet effort de reflexion. 

L'axe de ce livre, on l'aura compris, n'est pas dirige vers les modes d'emploi de 
logiciels ou de materiels de securite, mais bien plutot vers la position et l'expli- 
cation des problemes de securite, inseres dans un contexte technique dont il faut 
comprendre les tenants et les aboutissants si Ton veut adopter des solutions rai- 
sonnables. Et donner dans un livre des solutions techniques ou, pire, des recettes 
toutes faites, nous semblerait futile a une heure ou le contexte technique evolue 
si vite que le Web et la presse specialised (qui se developpe, y compris en langue 
francaise, cf. par exemple la revue MISC [4]) nous semblent bien mieux places 
pour repondre a ce type d'attente. II nous a paru plus judicieux de proposer au lec- 
teur un tour d'horizon des problemes afin qu'il puisse plus facilement, le moment 
venu, choisir entre plusieurs solutions techniques qui pourraient s'offrir a lui face 
a un probleme concret. 

Mode d'emploi du livre 

Comment aborder la lecture de ce livre ? II propose une progression des explica- 
tions. Pour le chiffrement, qui est le point le plus difficile parce qu'assez technique 
mais a la base de tout le reste, il y a d'abord une evocation informelle et succincte 



Avant-propos 



(chapitre 1), puis une presentation generale de la fonction de chiffrement, sans 
prejuger de ce quelle est (chapitre 2), puis l'explication precise avec expose ma- 
thematique (chapitre 4). II semble difficile de faire autrement, parce que certains 
lecteurs ont le droit de ne pas lire les mathematiques du chapitre 4, mais ils ont le 
droit de comprendre le reste quand meme. Mettre l'explication complete au debut 
risquerait de decourager le lecteur, supprimer l'explication prealable du chapitre 
2 est logiquement impossible parce que ce serait saper les developpements qui 
suivent. Le prix de cette progression est qu'il y a des flashbacks : nous pensons 
qu'il vaut mieux revenir sur un sujet que d'egarer le lecteur par une attaque trop 
abrupte. 



Conventions typographiques 

Les textes encadres ainsi sont destines a des explications plus techniques que les autres 
passages, a des exemples pratiques ou a des apartes. 

Les nombres entre crochets comme ceci [24] renvoient aux entrees de la bibliographie, 
en fin de volume. 



Le livre comporte quatre parties, qui nous semblent correspondre aux quatre axes 
selon lesquels un responsable de securite doit deployer ses competences et son 
activite : 

• la premiere partie expose les principes generaux de securite, de facon aussi 
peu technique que possible ; vous devriez pouvoir la faire lire a votre direc- 
teur du systeme d'information ; 

• la seconde partie, consacree a la science de la securite du systeme d'information, 
presente les bases scientifiques sur lesquelles reposent les techniques pra- 
tiques ; elle est plus exigeante pour le lecteur en termes de difficulte concep- 
tuelle ; 

• la troisieme partie aborde les aspects politiques, sociaux et psychologiques 
de la securite ; vous devriez pouvoir la placer sous les yeux de votre directeur 
juridique et de votre DRH ; 

• la quatrieme partie, qui envisage les evolutions recentes des menaces et de la 
securite, devrait interesser quiconque navigue regulierement sur l'lnternet. 
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Premieres notions 
de securite 



Ce chapitre introduit les notions de base de la securite informatique : menace, 
risque, vulnerability ; il effectue un premier parcours de l'ensemble du domaine, de 
ses aspects humains, techniques et organisationnels, sans en donner de description 
technique. 



Menaces, risqucs, vulnerabilites 

La Securite des Systemes d'Information (SSI) est aujourd'hui un sujet important 
parce que le systeme d'information (SI) est pour beaucoup d'entreprises un ele- 
ment absolument vital : le lecteur de ce livre, a priori, devrait etre deja convaincu 
de de cette evidence, mais il n'est peut-etre pas inutile de lui donner quelques mu- 
nitions pour l'aider a en convaincre sa hierarchie. II pourra par exemple a cet effet 
consulter le livre de Michel Voile e-conomie [114], disponible en ligne, qui explique 
comment pour une entreprise comme Air-France le SI, qui comporte notamment 
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le systeme de reservation Amadeus, est un actif plus crucial que les avions. En effet, 
toutes les compagnies font voler des avions : mais la difference entre celles qui sur- 
vivent et celles qui disparaissent (rappelons l'hecatombe recente : Panam, TWA, 
Swissair, Sabena...) reside d'une part dans 1' aptitude a optimiser i'emploi du temps 
des avions et des equipages, notamment par l'organisation de hubs, c'est-a-dire de 
plates-formes ou convergent des vols qui amenent des passagers qui repartiront 
par d'autres vols de la compagnie, d' autre part dans 1' aptitude a remplir les avions 
de passagers qui auront paye leur billet le plus cher possible, grace a la technique 
du yield management, qui consiste a calculer pour chaque candidat au voyage le 
prix a partir duquel il renoncerait a prendre 1' avion, et a lui faire payer juste un peu 
moins. Ce qui permet aux compagnies d'atteindre ces objectifs, et ainsi de l'em- 
porter sur leurs rivales, c'est bien leur SI, qui devient des lors un outil precieux, 
irremplacable, en un mot vital. 

La meme chose est deja vraie depuis longtemps pour les banques, bien sur. 

Puisque le SI est vital, tout ce qui le menace est potentiellement mortel. Conjurer 
les menaces contre le SI est devenu imperatif, et les lignes qui suivent sont une 
breve description de ce qu'il faut faire pour cela. 

Les menaces contre le systeme d'information entrent dans une des categories sui- 
vantes : atteinte a la disponibilite des systemes et des donnees, destruction de 
donnees, corruption ou falsification de donnees, vol ou espionnage de donnees, 
usage ilhcite d'un systeme ou d'un reseau, usage d'un systeme compromis pour 
attaquer d'autres cibles. 

Les menaces engendrent des risques et couts humains et financiers : perte de confi- 
dentialite de donnees sensibles, indisponibilite des infrastructures et des donnees, 
dommages pour le patrimoine intellectuel et la notoriete. Les risques peuvent se 
realiser si les systemes menaces presentent des vulnerabilites. 

II est possible de preciser la notion de risque en la decrivant comme le produit 
d'un prejudice par une probability d'occurrence : 

risque = prejudice x probability d'occurrence 

Cette formule exprime qu'un evenement dont la probability est assez elevee, par 
exemple la defaillance d'un disque dur, mais dont il est possible de prevenir le 
prejudice qu'il peut causer, par des sauvegardes regulieres, represente un risque 
acceptable ; il en va de meme pour un evenement a la gravite imparable, comme 
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l'impact d'un meteorite de grande taille, mais a la probability d'occurrence faible. 
II va de soi que, dans le premier cas, le risque ne devient acceptable que si les 
mesures de prevention contre le prejudice sont effectives et efficaces : cela irait 
sans dire, si l'oubli de cette condition n'etait tres frequent (cf page 17). 

Si la question de la securite des systemes d'information a ete radicalement bou- 
leversee par revolution rapide de l'lnternet, elle ne saurait s'y reduire ; il s'agit 
d'un vaste probleme dont les aspects techniques ne sont qu'une partie. Les aspects 
juridiques, sociaux, ergonomiques, psychologiques et organisationnels sont aussi 
importants, sans oublier les aspects immobiliers, mais nous commencerons par les 
aspects techniques lies a l'informatique. 



Aspects techniques de la securite 

Les problemes techniques actuels de securite informatique peuvent, au moins pro- 
visoirement, etre classes en deux grandes categories : 

• ceux qui concernent la securite de l'ordinateur proprement dit, serveur ou 
poste de travail, de son systeme d'exploitation et des donnees qu'il abrite ; 

• ceux qui decoulent directement ou indirectement de l'essor des reseaux, qui 
multiplie la quantite et la gravite des menaces. 

Si les problemes de la premiere categorie citee ici existent depuis la naissance de 
l'informatique, il est clair que l'essor des reseaux, puis de l'lnternet, en a demul- 
tiplie l'impact potentiel en permettant leur combinaison avec ceux de la seconde 
categorie. 

La resorption des vulnerabilites repose sur un certain nombre de principes et de 
methodes que nous allons enumerer dans la presente section avant de les decrire 
plus en detail. 

Definir risques et objets a proteger 
Perimetre de securite 

Inutile de se preoccuper de securite sans avoir defini ce qui etait a proteger : en 
d'autres termes toute organisation desireuse de proteger ses systemes et ses re- 
seaux doit determiner son perimetre de securite. Le perimetre de securite, au sein 
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de l'univers physique, delimite l'interieur et l'exterieur, mais sa definition doit aussi 
englober (ou pas) les entites immaterielles qui peuplent les ordinateurs et les re- 
seaux, essentiellement les logiciels et en particulier les systemes d' exploitation. 

Une fois fixe ce perimetre, il faut aussi elaborer une politique de securite, c'est- 
a-dire decider de ce qui est autorise et de ce qui est interdit. A cette politique 
viennent bien sur s'ajouter les lois et les reglements en vigueur, qui s'imposent a 
tous. Cela fait, il sera possible de mettre en place les solutions techniques appro- 
priates a la defense du perimetre selon la politique choisie. Mais deja il est patent 
que les dispositifs techniques ne pourront pas resoudre tous les problemes de secu- 
rite, et, de surcroit, la notion meme de perimetre de securite est aujourd'hui battue 
en breche par des phenomenes comme la multiplication des ordinateurs portables 
qui, par definition, se deplacent de l'interieur a l'exterieur et inversement, a quoi 
s'ajoute l'extraterritorialite de fait des activites sur l'lnternet. 

Perimetre et frontiere 

La notion de perimetre de securite, ainsi que le signalait deja l'alinea precedent, 
devient de plus en plus fragile au fur et a mesure que les frontieres entre l'ex- 
terieur et l'interieur de l'entreprise ainsi qu'entre les pays deviennent plus floues 
et plus poreuses. Interviennent ici des considerations topographiques : les ordi- 
nateurs portables entrent et sortent des locaux et des reseaux internes pour aller 
se faire contaminer a l'exterieur ; mais aussi des considerations logiques : quelles 
sont les lois et les regies qui peuvent s'appliquer a un serveur heberge aux Etats- 
Unis, qui appartient a une entreprise francaise et qui sert des clients bresiliens et 
canadiens ? 

La justice et les fournisseurs francais d'acces a l'lnternet (FAI) en ont fait l'expe- 
rience : un certain nombre d'organisations ont depose devant les tribunaux fran- 
cais des plaintes destinees a faire cesser la propagation de pages Web a contenus 
negationnistes, effectivement attaquables en droit francais. Mais les sites nega- 
tionnistes etaient installes aux Etats-Unis, pays depourvu d'une legislation anti- 
negationniste, ce qui interdisait tout recours contre les auteurs et les editeurs des 
pages en question. Les plaignants se sont done retournes contre les FAI fran- 
cais, par l'intermediaire desquels les internautes pouvaient acceder aux pages de- 
lictueuses, mais ceux-ci n'en pouvaient mais. En effet, ainsi que nous le verrons 
a la page 234, le filtrage de contenus sur l'lnternet est une entreprise couteuse, 
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aux resultats incertains, et en fin de compte vaine, car les editeurs des pages en 
question disposent de nombreux moyens pour dejouer les mesures de prohibition. 

Cette question du filtrage de contenu est traitee par le rapport Kahn-Brugidou 
[25]; le site www.legalis.net [73] assure une veille juridique bien faite sur toutes 
les questions liees aux developpements de l'informatique et de l'lnternet ; les livres 
de Solveig Godeluck [59] et de Lawrence Lessig [74] replacent ces questions dans 
un contexte plus general. 

Ressources publiques, ressources privees 

Les systemes et les reseaux comportent des donnees et des programmes que nous 
considererons comme des ressources. Certaines ressources sont d'acces public, ainsi 
certains serveurs Web, d'autres sont privees pour une personne, comme une boite 
a lettres electronique, d'autres sont privees pour un groupe de personnes, comme 
l'annuaire telephonique interne d'une entreprise. Ce caractere plus ou moins pu- 
blic d'une ressource doit etre traduit dans le systeme sous forme de droits d'acces, 
comme nous le verrons a la page 37 ou cette notion est presentee. 

Identifier et authentifier 

Les personnes qui accedent a une ressource non publique doivent etre identifiees ; 
leur identite doit etre authentifiee ; leurs droits d'acces doivent etre verifies au re- 
gard des habilitations qui leur ont ete attributes : a ces trois actions correspond 
un premier domaine des techniques de securite, les methodes d'authentification, 
de signature, de verification de l'integrite des donnees et d'attribution de droits 
(une habilitation donnee a un utilisateur et consignee dans une base de donnees 
adequate est une liste de droits d'acces et de pouvoirs formules de telle sorte qu'un 
systeme informatique puisse les verifier automatiquement). 

La securite des acces par le reseau a une ressource protegee n'est pas sufHsamment 
garantie par la seule identification de leurs auteurs. Sur un reseau local de type 
Ethernet ou la circulation des donnees fonctionne selon le modele de l'emission 
radiophonique que tout le monde peut capter (enfin, pas si facilement que cela, 
heureusement), il est possible a un tiers de la detourner. Si la transmission a lieu a 
travers l'lnternet, les donnees circulent de facon analogue a une carte postale, c'est- 
a-dire qu'au moins le facteur et la concierge y ont acces. Des lors que les donnees 
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doivent etre protegees, il faut faire appel aux techniques d'un autre domaine de la 
securite informatique : le chiffrement. 

Authentification et chiffrement sont indissociables : chiffrer sans authentifler ne 
protege pas des usurpations d'identite (comme notamment l'attaque par interpo- 
sition, dite en anglais attaque de type man in the middle, et decrite a la page 50), 
authentifler sans chiffrer laisse la porte ouverte au vol de donnees. 

Empecher les intrusions 

Mais ces deux methodes de securite ne suffisent pas, il faut en outre se premu- 
nir contre les intrusions destinees a detruire ou corrompre les donnees, ou a en 
rendre l'acces impossible. Les techniques classiques contre ce risque sont l'usage 
de pare-feu (firewalls) et le filtrage des communications reseaux, qui permettent 
de proteger la partie privee d'un reseau dont les stations pourront communiquer 
avec l'lnternet sans en etre « visibles » ; le terme visible est ici une metaphore qui 
exprime que nul systeme connecte a l'lnternet ne peut de sa propre initiative acce- 
der aux machines du reseau local (seules ces dernieres peuvent etablir un dialogue) 
et que le filtre interdit certains types de dialogues ou de services, ou certains cor- 
respondants (reconnus dangereux). 

La plupart des entreprises mettent en place des ordinateurs qu'elles souhaitent 
rendre accessibles aux visiteurs exterieurs, tels que leur serveur Web et leur relais 
de messagerie. Entre le reseau prive et l'lnternet, ces machines publiques seront 
placees sur un segment du reseau ouvert aux acces en provenance de l'exterieur, 
mais relativement isole du reseau interieur, afin qu'un visiteur etranger a l'entre- 
prise ne puisse pas acceder aux machines a usage strictement prive. Un tel segment 
de reseau est appele zone demilitarisee (DMZ), en souvenir de la zone du meme 
nom qui a ete etablie entre les belligerants a la fin de la guerre de Coree. Les 
machines en DMZ, exposees done au feu de l'lnternet, seront appelees bastions. 

Certains auteurs considerent que ces techniques de securite par remparts, ponts- 
levis et echauguettes sont dignes du Moyen-Age de l'informatique ; ils leur pre- 
ferent les systemes de detection d'intrusion (IDS), plus subtils, qui sont decrits 
par la page 230 et ses sous-sections. La surenchere suivante proclame que si Ton a 
detecte une intrusion, autant la stopper, et les IDS sont devenus des IPS (systemes 
de prevention d'intrusion). Et Ton verra plus loin que les IPS sont critiques par 
les tenants des mandataires applicatifs, plus subtils encore. Cela dit, dans un pay- 
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sage informatique ou les micro- or dinateurs proliferent sans qu'il soit realiste de 
pretendre verifier la configuration de chacun, le filtrage et le pare-feu sont encore 
irremplacables. 

Pour couper court a toutes ces querelles autour des qualites respectives de telle ou 
telle methode de securite, il suffit d'observer l'etat actuel des menaces et des vulne- 
rabilites. II y a encore une dizaine d'annees, le parametrage de filtres judicieux sur 
le routeur de sortie du reseau d'une entreprise vers l'lnternet pouvait etre consi- 
dere comme une mesure de securite bien suffisante a toutes fins pratiques. Puis 
il a fallu deployer des antivirus sur les postes de travail. Aujourd'hui, les CERT 
[Computer Emergency Response Teams, voir page 17 pour une description de ces 
centres de diffusion d'informations de securite informatique) publient une dizaine 
de vulnerabilites nouvelles par semaine, et l'idee de pouvoir se premunir en flux 
tendu contre toutes est utopique. La conception moderne (en cette annee 2006) 
de la protection des systemes et des reseaux s'appuie sur la notion de defense enpro- 
fondeur, par opposition a la defense frontale rigide, ou Ton mise tout sur l'efficacite 
absolue d'un dispositif unique. 

Defense en profondeur 

La defense en profondeur — au sujet de laquelle on lira avec profit un article du 
General Bailey [12] qui evoque a son propos une veritable « revolution dans les 
affaires militaires » — consiste a envisager que l'ennemi puisse franchir une ligne 
de defense sans pour cela qu'il devienne impossible de l'arreter ; cette conception 
s'impose des lors que les moyens de frappe a distance et de deplacement rapide, 
ainsi que le combat dans les trois dimensions, amenent a relativiser la notion de 
ligne de front et a concevoir l'affrontement arme sur un territoire etendu. Plus 
modestement, la multiplication des vulnerabilites, la generalisation des ordina- 
teurs portables qui se deplacent hors du reseau de l'entreprise, l'usage de logiciels 
novateurs (code mobile, peer to peer, sites interactifs, telephonie et visioconference 
sur IP) et d'autres innovations ont aneanti la notion de « perimetre de securite » de 
l'entreprise, et obligent le responsable SSI a considerer que la menace est partout 
et peut se manifester n'importe ou. II faut continuer a essayer d'empecher les in- 
trusions dans le SI de l'entreprise, mais le succes de la prevention ne peut plus etre 
garanti, et il faut done se preparer a limiter les consequences d'une attaque reus- 
sie, qui se produira forcement un jour. Et ce d'autant plus que le SI contemporain 
n'est pas comme par le passe contenu par un « centre de donnees » monolithique 
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heberge dans un bunker, mais constitue de multiples elements plus ou moins im- 
materiels qui vivent sur des ordinateurs multiples, disperses dans toute l'entreprise 
et au dehors ; et c'est cette nebuleuse qu'il faut proteger. 

Nous allons au cours des chapitres suivants examiner un peu plus en detail cer- 
taines collections de techniques qui s'offrent au responsable SSI, en commencant 
par la cryptographic dont sont derivees les techniques de 1'authentification. 



Aspects organisationnels de la securite 

A cote des mesures techniques destinees a assurer la protection des systemes et 
des reseaux, la securite du SI comporte un volet humain et social au moins aussi 
important : la securite depend en derniere analyse des comportements humains 
et, si les comportements sont inadaptes, toutes les mesures techniques seront par- 
faitement vaines parce que contournees. 

Abandonner les utilisateurs inexperimentes aux requins ? 

Un article recent de Marcus J. Ranum [88] (voir aussi page 224), qui n'est rien 
moins que l'inventeur du pare-feu et une autorite mondiale du domaine SSI, sou- 
tient l'idee paradoxale qu'il serait inutile, voire nuisible, d'eduquer les utilisateurs 
du SI a la securite : son argument est que les utilisateurs incapables de maitriser 
suffisamment leur ordinateur, notamment en termes de mesures de securite, sont 
condamnes a etre expulses du marche du travail, et qu'il ne faut rien faire pour 
les sauver. Cette idee ne peut manquer de seduire les RSSI epuises non pas tant 
par l'inconscience et l'ignorance de leurs utilisateurs, que par le fait que ceux-ci ne 
veulent rien savoir. Cela dit, apres avoir jubile quelques instants a l'idee de la dispa- 
rition en masse de ses utilisateurs les plus insupportables, le RSSI se retrouve par 
la pensee dans la situation du narrateur d'un recit de Roland Topor [111], naufrage 
recu comme dieu vivant d'une ile du Pacifique, et qui un jour, exaspere par une 
rage de dents, crie a ses fideles « Vous pouvez tous crever ! », suggestion a laquelle 
ils obeissent incontinent. 

Si la suggestion de M. Ranum n'est pas a prendre a la legere, il convient nean- 
moins de prendre en consideration que les questions de SSI sont fort complexes 
et evoluent vite, si bien que meme les utilisateurs avertis peuvent etre pris de court 
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par des menaces dont ils n'etaient pas informes. Nous pouvons meme risquer une 
assertion plus generate : en informatique, aucune competence nest per enne ni com- 
plete. II convient done que les RSSI et de facon plus generate tous les informa- 
ticiens responsables des infrastructures techniques et des reseaux consacrent une 
part de leur activite a informer, sensibiliser et former les utilisateurs a la problema- 
tique SSI. Eux-memes doivent se tenir en permanence au courant de revolution 
du sujet, etre abonnes aux bulletins d'alerte des CERT et aux revues specialisees, 
frequenter les forums specialises et les conferences et mettre en application les 
enseignements qu'ils en auront tires. Tout cela semblerait aller de soi, si Ton ne 
voyait combien peu ces conseils sont entendus. 

Idealement, dans une entreprise, aucun utilisateur ne devrait etre laisse « a l'aban- 
don », e'est-a-dire avec un acces incontrole au reseau de l'entreprise et a ses com- 
munications avec l'lnternet, il devrait y avoir dans chaque groupe de travail un 
correspondant informatique en contact avec les responsables des infrastructures 
et du reseau. En l'absence d'une telle structure d'echanges, les phenomenes les 
plus dangereux ne manqueront pas de proliferer, et de ce moment surgiront les 
incidents les plus graves. 

La nature du « contact » entre le correspondant informatique et les responsables du 
SI et des infrastructures pourra dependre du type d' organisation : dans une entre- 
prise assez centralisee et hierarchisee la fonction de correspondant informatique 
sera definie en termes operationnels, il aura des directives precises a appliquer et 
devra rendre compte de leur application ainsi que de tout probleme informatique 
qui pourrait survenir. Dans une entreprise a la structure plus lache, un organisme 
de recherche par exemple, la mise en place d'une telle organisation peut se reveler 
difficile, les relations de contact seront moins formelles, mais il sera neanmoins 
important qu'elles existent, ne serait-ce que par des conversations regulieres au 
pied de la machine a cafe. 

Externalisation radicale ? 

En septembre 2004 un article de Computer Weekly [97] a signale une politique d'une 
nouveaute bouleversante pour faire face a la dissolution du perimetre de securite 
(on parle desormais de deperimetrisation). British Petroleum (BP), la firme petro- 
liere bien connue, etait obligee d'administrer 380 extranets pour communiquer 
avec 90 000 correspondants d'entreprises clients, fournisseurs ou partenaires de 
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par le monde, et ce au travers des infrastructures infiniment variees en nature et 
en qualite des operateurs locaux. Elle a decide qu'il serait beaucoup plus simple 
et efficace de leur offrir, par l'lnternet, un acces analogue a celui que les banques 
offrent a leurs clients pour gerer leur compte. 

La demarche ne s'est pas arretee la : BP s'est rendu compte que cette solution 
d'acces pourrait etre etendue a une fraction de son propre personnel, estimee a 
60% de ses 96 200 employes, qui n'avaient pas besoin d'utiliser de systemes client- 
serveur particuliers, un navigateur suffirait. 

Les avantages d'une telle solution semblent considerables : l'entreprise n'a plus 
besoin de se soucier de la securite sur le poste de travail des correspondants ou des 
employes ainsi « externalises », pas plus que la banque ne s'occupe de l'ordinateur 
de son client. C'est leur probleme. 

Sauvegarder donnees et documents 

La sauvegarde reguliere des donnees et de la documentation qui permet de les 
utiliser est bien sur un element indispensable de la securite du systeme d'infor- 
mation, elle constitue un sujet d' etude a elle seule, qui justifierait un livre entier. 
Aussi ne ferons-nous, dans le cadre du present ouvrage, que l'evoquer brievement, 
sans aborder les aspects techniques. Mentionnons ici quelques regies de bon sens : 

• Pour chaque ensemble de donnees il convient de determiner la periodicite 
des operations de sauvegarde en fonction des necessites liees au fonction- 
nement de l'entreprise. 

• Les supports de sauvegarde doivent etre stockes de facon a etre dispo- 
nibles apres un sinistre tel qu'incendie ou inondation : armoires ignifugees 
etanches ou site externe. 

• Les techniques modernes de stockage des donnees, telles que Storage Area 
Network (SAN) ou Network Attached Storage (NAS), conjuguees a la dis- 
ponibilite de reseaux a haut debit, permettent la duplication de donnees a 
distance de plusieurs kilometres (voire plus si l'obstacle financier n'est pas a 
considerer), et ce eventuellement en temps reel ou a intervalles tres rappro- 
ches ; ce type de solution est ideal pour un site de secours. 

• De l'alinea precedent, on deduit que, dans un systeme d'information mo- 
derne, toutes les donnees doivent etre stockees sur des SAN ou des NAS, 
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rien ne justifie l'usage des disques attaches directement aux serveurs, qui 
seront reserves aux systemes d'exploitation et aux donnees de petit volume. 
• Les dispositifs et les procedures de sauvegarde et, surtout, de restauration 
doivent etre verifies regulierement (cf. la section suivante). 

Verifier les dispositifs de securite 

Le dispositif de securite le mieux concu ne remplit son role que s'il est operation- 
nel, et surtout si ceux qui doivent, en cas de sinistre par exemple, le mettre en 
ceuvre, sont eux aussi operationnels. II convient done de verifier regulierement les 
capacites des dispositifs materiels et organisationnels. 

Les incidents graves de securite ne surviennent heureusement pas tous les jours : 
de ce fait, si Ton attend qu'un tel evenement survienne pour tester les procedures 
palliatives, elles risquent fort de se reveler defaillantes. Elles devront done etre exe- 
cutees « a blanc » periodiquement, par exemple en effectuant la restauration d'un 
ensemble de donnees a partir des sauvegardes tous les six mois, ou le redemarrage 
d'une application a partir du site de sauvegarde. 

Outre ces verifications regulieres, l'organisation d'exercices qui simulent un eve- 
nement de securite impromptu peut etre tres profitable. De tels exercices, inspi- 
res des manoeuvres militaires, reveleront des failles organisationnelles telles que 
rupture de la chaine de commandement ou du circuit d'information. Un rythme 
bisannuel semble raisonnable pour ces operations. 



S'informer aupres des CERT 



Les CERT (Computer Emergency Response Teams) centralisent, verifient et pu- 
blient les alertes relatives a la securite des ordinateurs, et notamment les annonces 
de vulnerability recemment decouvertes. Les alertes peuvent emaner des auteurs 
du logiciel, ou d'utilisateurs qui ont detecte le probleme. Detecter une vulnera- 
bility ne veut pas dire quelle soit exploitee, ni meme exploitable, mais le risque 
existe. 



Principes de securite du systeme d'information 



Premiere partie 



Organisation des CERT 

Les vulnerabilities publiees par les CERT sont relatives a toutes sortes de sys- 
temes ; leur publication constitue une incitation forte pour que les industriels 
concernes (les producteurs du systeme ou du logiciel le plus souvent) les corrigent. 
Certains tentent aussi de ralentir le travail des CERT, dont ils aimeraient bien 
qu'ils ne devoilent pas leurs faiblesses. 

Le premier CERT a vu le jour a l'universite Carnegie-Mellon de Pittsburgh en 
novembre 1988, sur une initiative de la DARPA (Defense Advanced Research Pro- 
jects Agency) consecutive a la propagation du ver de Morris, la premiere attaque, 
involontaire 1 mais de grande envergure, contre l'lnternet. En 2006 la France dis- 
pose de trois CERT : le CERT A 2 pour les besoins des administrations et services 
publics, le CERT Renater qui s'adresse aux universites et centres de recherche, le 
CERT-IST qui s'adresse au monde industriel. En fait la cooperation au sein de 
la communaute mondiale des CERT est assez etroite, surtout en periode de crise. 
Cette communaute est concretisee par l'existence d'un Centre de Coordination 
des CERT , heberge par l'universite Carnegie Mellon a Pittsburgh en Pennsyl- 
vanie. 

La publication des avis des CERT est une contribution majeure et vitale a la 
securite des systemes d'information. Leur volume est tel que le depouillement, 
qui ne peut etre confie qua des ingenieurs reseau de haut niveau, represente un 
travail considerable. 

Faut-il publier les failles de securite ? 

Un debat s'est engage sur le bien-fonde de certains avis, et sur la relation qu'il 
pourrait y avoir entre le nombre d'avis concernant un logiciel ou un systeme donne 
et sa qualite intrinseque. Les detracteurs des logiciels libres ont mis en exergue le 
volume tres important d'avis des CERT qui concernaient ceux-ci (par exemple 
Linux, le serveur Web Apache, Sendmail, etc.) pour en inferer leur fragilite. Leurs 
defenseurs ont riposte en expliquant que les avis des CERT concernaient par de- 



Du moins a en croire son auteur Robert Tappan Morris. 
2 Cf. http : //www . certa . ssi . gouv . fr/ 
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4 Cf. http 
s Cf. http 
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finition des failles de securite decouvertes et done virtuellement corrigees, alors 
que l'absence d'avis relatifs a tel systeme commercial pouvait simplement signifier 
que Ton passait sous silence ses defauts de securite en profitant de son opacite. Or 
l'experience montre que tout dispositif de securite a des failles ; les attaquants ne 
perdent pas leur temps a faire de la recherche fondamentale sur la factorisation des 
grands nombres entiers, ils essaient de reperer les failles d'implementation et ils les 
exploitent. Face a ce risque, la meilleure protection est une capacite de riposte ra- 
pide, qui consiste le plus souvent a commencer par desactiver le composant pris en 
defaut en attendant la correction. La communaute du logiciel libre excelle dans cet 
exercice, mais avec les logiciels commerciaux les utilisateurs n'ont souvent aucun 
moyen d'agir : ils ne peuvent qu'attendre le bon vouloir de leur fournisseur. Dans 
ce contexte, la publication d'avis des CERT relatifs a des logiciels commerciaux 
est tres benefique parce quelle incite les fournisseurs a corriger plus rapidement 
un defaut dont la notoriete risque de nuire a leur reputation. Mais certains four- 
nisseurs cherchent a obtenir le silence des CERT en arguant du fait que leurs avis 
risquent de donner aux pirates des indications precieuses... ce qui est fallacieux car 
les sites Web des pirates sont de toute facon tres bien informes et mis a jour, eux, 
selon les principes du logiciel libre, ce qui indique bien ou est 1'efflcacite maxi- 
male. L'experience tend a prouver qu'une faille de securite est d'autant plus vite 
comblee quelle est publiee tot et largement. L'acces au code source du logiciel en 
defaut constitue bien sur un atout. 

La reponse a la question posee par le titre de cette section est done : out, ilfaut 
publier les failles de securite, mais de facon organisee et responsable, e'est-a-dire de 
facon certifiee, sur le site d'un organisme accredite, typiquement un CERT, et 
apres avoir prevenu l'auteur ou l'editeur du logiciel en defaut et lui avoir laisse un 
delai raisonnable pour au moins trouver un palliatif d'urgence. II faut savoir qu'il 
existe aujourd'hui un marche de la faille, qui parfois n'est pas loin de s'apparenter 
a du chantage. 
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Le management de la securite 



remeraes pour avoir su 
recisions ne 



Cette section doit beaucoup a la formation ISO 27001 Lead Auditor, 

par Alexandre Fernandez, et Herve Schauer, de Herve Schauer Consultants. 

L'un d'entre nous a suivi cette formation et obtenu la certification a laquelle elle 

prepare. Qu'A. Fernandez et H. Schauer soient ici remercies p, 

rendre captivante une matiere plutot aride. Les erreurs et imp, 

peuvent etre imputees qua I'auteur. 
La presente section sur le management de la securite presente des normes et des 
methodes que nous n'approuvons pas ; elles ne sont pas inutiles, mais nuisibles. 
Neanmoins il convient qu'elles aient leur place dans ce livre, d'abord parce que 
sans elles cet expose serait incomplet, ensuite parce que tout responsable de la 
securite a interet a les connaitre s'il veut conserver son emploi. Nous ne saurions 
trop recommander au responsable securite soucieux de son avenir professionnel 
de suivre une formation du type de celle qui est mentionnee en exergue de cette 
section. 



CULTURE « Management », un faux anglicisme 

Pour se resigner a I'emploi du mot management on se rappellera que, loin d'etre un 
anglicisme, il s'agit d'un vieux mot francais remis a I'honneur : Olivier de Serres (1539- 
1619) emploie en effet le terme menager dans une acception qui en fait le manager 
contemporain, on nous fera grace de la variation orthographique, courante a I'epoque. 
Et I'emploi du mot gestion a toutes les sauces serait bien pire. 



Les systemes de management 

L'Organisation internationale de normalisation, ou International organization for 
standardization en anglais (ISO pour la forme abregee) est une organisation inter- 
nationale, creee en 1947, composee de representants des organismes de normali- 
sation nationaux d'environ 150 pays, qui produit des normes internationales dans 
des domaines industriels et commerciaux. 

L'ISO a entrepris d'encadrer par des normes les systemes de management, et pour 
ce faire a commence par en donner une definition, qui fait l'objet de la norme IS 
(pour International Standard) 9000 ; un systeme de management est un systeme 
qui permet : 
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• d'etablir une politique ; 

• de fixer des objectifs ; 

• de verifier que Ton a atteint les objectifs fixes. 

Plus concretement, un systeme de management comporte un ensemble de mesures 
organisationnelles et techniques destinees a mettre en place un certain contexte 
organisationnel et a en assurer la perennite et l'amerioration. L'idee cruciale au 
cceur de cette problematique est que le systeme de management repose sur un 
referentiel ecrit, et qu'il est done verifiable, au moyen d'un audit qui consistera a 
comparer le referentiel a la realite pour relever les divergences, nominees ecarts ou 
non-conformites. 

II existe actuellement (en 2006) trois normes relatives aux systemes de manage- 
ment : 

• la norme IS 9001 consacree aux systemes de management de la qualite et 
aux exigences associees ; 

• la norme IS 14001 consacree aux systemes de management de l'environne- 
ment; 

• la norme IS 27001 consacree aux systemes de management de la securite de 
l'information ; e'est cette derniere qui nous interessera plus particulierement 
ici. 

Pour couronner cet edifice remarquable, la norme IS 19001 formule les directives 
a respecter pour la conduite de l'audit d'un systeme de management. 

Le systeme de management de la securite de l'information 

La norme IS 27001 [68] est destinee a s'appliquer a un systeme de management 
de la securite de l'information (SMSI) ; elle comporte notamment un schema de 
certification susceptible d'etre applique au SMSI au moyen d'un audit. 

Comme toutes les normes relatives aux systemes de management, IS 27001 repose 
sur une approche ^vx processus, et plus precisement sur le modele de processus for- 
mule par W.E. Deming, du MIT, et nomme roue de Deming, ou PDCA, comme 
Plan, Do, Check, Act : 

• phase Plan : definir le champ du SMSI, identifier et evaluer les risques, pro- 
duire le document (Statement of applicability, SOA) qui enumere les mesures 
de securite a appliquer ; 
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• phase Do : affecter les ressources necessaires, rediger la documentation, for- 
mer le personnel, appliquer les mesures decidees, identifier les risques resi- 
duels ; 

• phase Check : audit et revue periodiques du SMSI, qui produisent des 
constats et permettent d'imaginer des corrections et des ameliorations ; 

• phase Act : prendre les mesures qui permettent de realiser les corrections 
et les ameliorations dont 1' opportunity a ete mise en lumiere par la phase 
Check, preparer une nouvelle iteration de la phase Plan. 

Le SMSI a pour but de maintenir et d'ameliorer la position de l'organisme qui le 
met en ceuvre du point de vue, selon les cas, de la competitivite, de la profitabilite, 
de la conformite aux lois et aux reglements, et de l'image de marque. Pour cela 
il doit contribuer a proteger les actifs (assets) de l'organisme, definis au sens large 
comme tout ce qui compte pour lui. 

Pour determiner les mesures de securite dont la phase Plan devra fournir une 
enumeration, la norme IS 27001 s'appuie sur le catalogue de mesures et de bonnes 
pratiques propose par la norme IS 17799, « International Security Standard » [69], 
plus volumineuse et au contenu plus technique. 

IS 27001 impose une analyse des risques, mais ne propose aucune methode pour 
la realiser : l'auteur du SMSI est libre de choisir la methode qui lui convient, a 
condition qu'elle soit documented et qu'elle garantisse que les evaluations realisees 
avec son aide produisent des resultats comparables et reproductibles. Un risque 
peut etre accepte, transfere a un tiers (assurance, prestataire), ou reduit a un niveau 
accepte. 

Un exemple de methode d' analyse de risque utilisable dans le cadre d'lS 27001 est 
la methode EBIOS® (Expression des Besoins et Identification des Objectifs de 
Securite) , qui « permet d'apprecier et de traiter les risques relatifs a la securite des 
systemes d'information (SSI). Elle permet aussi de communiquer a leur sujet au 
sein de l'organisme et vis-a-vis de ses partenaires afin de contribuer au processus 
de gestion des risques SSI. » 



6 http : //www . ssi . gouv . f r/fr/conf iance/ebiospresentation . html. 
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Elaboration et mise en place du SMSI 

La norme IS 27001 precise la demarche qui doit etre suivie pour elaborer et mettre 
en place le SMSI : sans entrer trop dans les details, ce qui risquerait d'enfreindre 
les droits des organismes de normalisation qui vendent fort cher les textes des 
normes, disons que l'organisme desireux de se voir certifier devra : 

• definir le champ du SMSI ; 

• en formuler la politique de management ; 

• preciser la methode d'analyse de risques utilisee ; 

• identifier, analyser et evaluer les risques ; 

• determiner les traitements qui seront appliques aux differents risques, ainsi 
que les moyens d'en verifier les effets ; 

• attester l'engagement de la direction de l'organisme dans la demarche du 
SMSI; 

• rediger le Statement of Applicability (SOA) qui sera la charte du SMSI et qui 
permettra de le soumettre a un audit. 

Suivi et application du SMSI 

Ici la norme precise que, une fois que le SMSI a ete formule, il faut faire ce qu'il 
stipule, verifier que c'est fait, identifier les erreurs dans son application, les failles 
qui s'y manifestent, les modifications du contexte de nature a necessiter sa mise a 
jour ou sa modification. 

Tactics de direction et d'encadrement 

A la direction de l'organisme, dont il a deja ete dit quelle devait s'engager acti- 
vement dans la demarche, incombent d'autres obligations : verifier que tout est 
bien fait selon les regies, affecter a la demarche du SMSI des ressources suffi- 
santes en personnel et en moyens materiels, determiner les besoins qui en resultent 
en termes de competence et de formation, fournir les efforts qui conviennent en 
termes de sensibilisation et de formation, effectuer le controle des effets de ces 
efforts. II faut aussi organiser des revues et des exercices, etc., tout cela afin d'assu- 
rer Y amelioration continue du SMSI. Cette vision idyllique d'un univers en marche 
vers le Bien, le Beau, le Juste ne saurait manquer de soulever l'enthousiasme du 
lecteur ! 
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Un modele de maturite ? 

La norme ISO/IEC 21827 [65] propose un « Modele de maturite de capacite » : 
qui peut traduire ce jargon invraisemblable ? 

Criteres communs 

Les Criteres Communs (norme ISO/IEC 15408) sont etrangers ou plutot paralleles 
a la demarche IS 27001 ; ils se proposent de servir de base pour revaluation des 
proprietes de securite des produits et des systemes de traitement de l'information. 
Nous n'en dirons guere plus ici, parce que cette norme s'adresse aux concepteurs de 
produits de securite plutot qua ceux qui les utilisent pour construire des systemes 
d'information surs. 

Faut-il adherer aux normes de securite de l'information ? 

L'auteur de ces lignes n'est pas convaincu que les normes evoquees a la section pre- 
cedente soient un remede a i'insecurite ; ces methodes sont d'une grande lourdeur, 
leur seul apprentissage est d'une ampleur propre a absorber une energie consi- 
derable, or une fois que Ton connait par cceur les criteres communs et que Ton 
sait appliquer EBIOS les pieds au mur, on n'a pas mis en place une seule mesure 
concrete de SSI, on est seulement capable, en principe, d'evaluer les mesures que 
d'autres auront eventuellement mises en place. 

Ce qui frappe le lecteur, c'est que la verification formelle de conformite a ces 
normes peut presque etre effectuee par un auditeur depourvu de competence tech- 
nique : il sufflt de lire les documents obligatoires et de verifier que les mesures 
mentionnees ont bien ete appliquees, ce qui doit etre ecrit dans un autre docu- 
ment. On pourrait presque imaginer un audit par ordinateur : il serait sans doute 
mauvais, mais formellement conforme. Reste a ecrire le compilateur de normes 
et le compilateur de SOA. Evidemment, pour realiser un bon audit, l'intuition de 
l'auditeur, nourrie par son experience, jouera un role important. Certains collegues 
dont je tairai les noms de crainte de leur attirer des ennuis vont jusqu'a dire que 
l'adoption d'une demarche telle que celle proposee par IS 27001 ou IS 21827 est 
nuisible, elle empecherait les gens de penser correctement, de se poser les bonnes 
questions. Si j'osais je serais d' accord avec eux, mais je suis trop respectueux des 
normes et des autorites pour cela. En fait, les auteurs de ces normes semblent 
croire que l'univers peut etre decrit de facon adequate par un tableau de cases a 
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cocher, analogue a un questionnaire a choix multiples : on se demande pourquoi 
les grands nigauds nommes Aristote, Descartes, Newton, Kant et Einstein n'y ont 
pas pense, ils se seraient epargne bien de la fatigue cerebrale. 

Une autre faiblesse de ces demarches, c'est leur determinisme : la lecture de leurs 
documentations suggere que l'univers des risques et des menaces qu'elles sont cen- 
sees conjurer est parfaitement ordonne et previsible, alors que justement ses carac- 
teristiques premieres sont le chaos et la surprise. De ce fait, le temps passe a cocher 
consciencieusement les cases du tableau Excel ou Ton aura reporte les rubriques 
de son SOA (Statement of Applicability) risque d'avoir ete perdu, et il aurait sans 
doute ete plus judicieux de le consacrer a de la securite reelle. Soulignons a cette 
occasion les ravages exerces par un logiciel autrement bien pratique, Excel : pour 
certains managers, le monde semble pouvoir etre decrit par un tableau de cases ; 
des qu'un probleme a plus de deux dimensions, c'est la panique parce que cela 
n'entre plus dans le tableur. 

Une telle vision, malgre sa pauvrete, comporte une metaphysique implicite, dont 
Isabelle Boydens [22] donne un enonce explicite (p. 62) : 

« Une telle approche repose implicitement sur trois postulats : » 

• « Le monde est compose d' elements discrets, univoques, clairement identi- 
fiables et perceptibles. 

• Les combinaisons et la connaissance de ces elements sont gouvernees par 
des lois. 

• II est possible d'etablir une relation bi-univoque entre le reel observable et 
sa representation informatique en vertu de l'isomorphisme qui les relierait 
l'un a l'autre. » 

Bien sur, le monde n'est pas ainsi. Cela dit il ne convient pas d'ignorer que, 
dans les grandes structures bureaucratisees, ce type de demarche est devenu a peu 
pres inevitable, un peu comme ISO 9001. Les procedures destinees a evaluer des 
travaux techniques deviennent une charge de travail plus lourde que l'objet de 
revaluation, les procedures de gestion demandent plus de travail que les activites 
qu'elles servent a gerer, bref ce qui devrait etre une aide pour Taction devient un 
fardeau, de surcroit ennuyeux. 

Pour resumer cette analyse en une formule : toutes ces normes et ces procedures 
n'ont qu'une finalite, permettre a des incompetents de diriger. 
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Un autre defaut de ces procedures d' evaluation, c'est qu'elles ne sont pas unique- 
merit construites en fonction des buts a atteindre, mais aussi, sinon surtout, en 
fonction de ce qui, dans les processus etudies, se prete bien a revaluation, parce 
que par exemple il est facile d'y adapter une metrique. Conformement au pro- 
verbe, pour celui qui ne dispose que d'un marteau, tout ressemble a un clou, et les 
normalisateurs de la securite n'ont pas toujours echappe a ce travers. 

Le RSSI qui aura pu echapper a la lourdeur de ces carcans normalises aura a 
cceur d'elaborer une politique et des regies de securite raisonnables, sobres, les 
plus simples possible, et adaptees a la situation locale. Le present ouvrage se veut 
un guide pour rediger une politique de securite . 

De toutes les facons il faut savoir que des regies de securite complexes ou trop 
contraignantes seront simplement inappliquees, parce que trop difficiles a com- 
prendre. La simple lecture des criteres communs et des manuels EBIOS repre- 
sente des milliers de pages : autant dire que leur etude detaillee est antinomique 
de toute politique reelle de securite. Leur fonction principale ne serait-elle pas 
de donner du travail aux cabinets de consultants specialises, a condition que leur 
clientele soit (tres) solvable ? 



Legislation financiere et systeme d'information 

Les questions techniques et organisationnelles ne sont pas les seules a avoir des 
effets sur la securite du systeme d'information. Apres le management de la securite 
et ses exces, nous aborderons ici 1' application de la securite au management, qui 
engendre elle aussi des pratiques abusives. 

L'ubiquite de l'informatique est telle que des mesures legislatives destinees a re- 
glementer des domaines que Ton pourrait croire tres eloignes de l'objet du present 
ouvrage finissent par se trouver au cceur de sa problematique. Un de nos collegues 
distinguait la « securite dure » (crypto-processeurs, pare-feu, reseaux prives vir- 
tuels, separation des privileges) de la « securite molle », qui par analogie avec les 
sciences affublees du meme adjectif se preoccupe de ces aspects simplement hu- 
mains : ce sont de certains d'entre eux qu'il sera question ici. L'administrateur de 
systeme et de reseau pourrait se croire a l'abri des monstres bureaucratiques men- 



Le lecteur pourra aussi se reporter avec profit au livre benefiquement concis de Scott Barman. 
Writing Information Security Policies. New Riders, Indianapolis, USA, 2002. 
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tionnes ci-dessous : qu'il s'estime heureux si on ne lui impose pas les procedures 
elephantesques qu'ils engendrent. 

Legislation financiere et SI 

Depuis les scandales financiers de la periode 2001-2002 (nous ne mentionne- 
rons ici que les affaires Enron et Worldcom), sont apparues comme champignons 
apres la pluie des reglementations destinees a ameliorer le controle des autorites 
et des actionnaires sur la gestion des entreprises. Le signal a bien sur ete donne 
par les Etats-Unis en juillet 2002 avec la loi Sarbanes-Oxley (plus familierement 
SOX), qui impose aux entreprises qui font appel au capital public (c'est-a-dire 
cotees en bourse) toute une serie de regies comptables et administratives destinees 
a assurer la tracabilite de leurs operations financieres, afin que les actionnaires ne 
courent plus le risque de voir leurs actions partir en fumee apres une deconfiture 
que des comptes truques n'auraient pas permis de prevoir, cependant que les diri- 
geants inities auraient revendu a temps leurs stock-options pour se retirer sur leur 
yacht aux iles Cayman... La France a bien sur emboite le pas avec la loi du l er 
aout 2003 sur la securite financiere (LSF) qui concerne principalement trois do- 
maines : la modernisation des autorites de controle des marches financiers, la se- 
curite des epargnants et des assures et enfin le controle legal des comptes ainsi que 
la transparence et le gouvernement d'entreprise. Cette loi francaise ne concerne 
pas seulement les societes cotees, mais toutes les societes anonymes ; elle est com- 
pleted par le dispositif reglementaire europeen « Bale 2 » de 2004, qui concerne les 
etablissements financiers. 

La consequence pratique la plus visible de ces legislations, c'est la proliferation des 
systemes de controle et d'audit que nous avons evoques a la page 20, et c'est bien 
pourquoi le responsable de securite ne peut les ignorer. 

La loi Sarbanes-Oxley concerne la securite du systeme d'information en ceci 
quelle impose aux entreprises des procedures de controle interne, de conservation 
des informations, et de garantie de leur exactitude. La description detaillee de ces 
procedures, et de leur realisation dans le systeme d'information, est un element cle 
de la loi, notamment pour ce qui a trait aux points suivants : 

1. la continuity des operations ; 

2. la sauvegarde et l'archivage des donnees ; 

3. l'externalisation et son controle. 

Les legislations europeennes ont emprunte les memes chemins. 
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Breve critique de la securite financiere 

On peut lire sur le site de VLSI Research un article [64] dans lequel son president 
G. Dan Hutcheson fait une analyse tres pessimiste des perspectives de l'economie 
americaine posterieures a l'affaire Enron et a la floraison de ces legislations. 

Hutcheson retient les points suivants : 

1. la quasi-disparition des stock-options prive les entreprises emergentes du 
moyen de motiver leur personnel ; 

2. la lourdeur et le cout considerables de 1' adaptation a la loi Sarbanes-Oxley 
empecheront pratiquement les entreprises emergentes d'entrer en bourse, 
c'est-a-dire d'acceder aux sources de capital (notons que les eventuelles en- 
treprises emergentes francaises n'auront pas a souffrir un tel dommage, 
puisque l'acces au marche boursier leur est deja pratiquement impossible) ; 

3. cette fermeture du marche boursier aux entreprises emergentes casse le mo- 
dele americain de capital-risque, sur lequel reposait la creativite industrielle 
du pays ; 

4. les analystes financiers optimistes, accuses d'entrainer les epargnants dans 
des aventures dangereuses, risquent desormais la prison : on peut s'attendre 
a une flambee de pessimisme ; 

5. l'orientation des entreprises selon les nouveaux imperatifs de reduction des 
couts et d' optimisation des achats coupe court a toute tentation d'innover. 

Hutcheson est d'autant plus severe a l'egard de la nouvelle legislation que, selon 
lui, les lois existantes etaient tout a fait suffisantes pour assurer la transparence et 
lutter contre la fraude. 

Ajoutons que ces differentes legislations souffrent, selon nous, d'un vice de 
conception : elles suggerent que la comptabilite des entreprises pourrait resul- 
ter de l'observation neutre et objective de phenomenes naturels, un peu comme 
les sciences de la nature, alors qu'un systeme comptable est construit selon des 
objectifs et des intentions. La comptabilite des entreprises est construite de fa- 
con a limiter 1' exposition a la fiscalite, ce qui est un imperatif autrement vital que 
la transparence economique ; quant a la comptabilite des organismes publics, en 
France tout au moins, elle essaye de se couler dans un carcan reglementaire dont 
les premieres planches ont ete clouees au XIV e siecle (cf. mon livre [19], ou sur le 
Web [20]). 
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La securite procedural n'est pas la solution 

Apres ce tour d'horizon des normes de securite basees sur des procedures admi- 
nistratives et des exces de la securite appliquee au management, nous evoquerons 
les analyses de Jean-Pierre Dupuy [45], qui jettent une lumiere vive aussi bien sur 
toutes ces normes relatives aux systemes de management que sur la mode recente 
du principe de precaution. 

Pour decrire ces systemes de pensee, Dupuy introduit la notion de « rationalite 
procedurale », qui procederait de reunions de comites d' experts, eventuellement a 
l'ecoute de la societe civile, et qui serait la forme consensuelle de la democratic 
contemporaine. Ce modele peut facilement etre transpose a la gestion des entre- 
prises, notamment paries methodes de conduite de projet. « Dire que la rationalite 
est procedurale, c'est dire qu'une fois l'accord realise sur les justes et bonnes proce- 
dures, ce qu'elles produiront sera ipso facto, par propriete heritee en quelque sorte, 
juste et bon. C'est done renoncer a chercher, independamment de et anterieure- 
ment a toute procedure, les criteres du juste et du bien... » [nous pourrions ajouter : 
du vrai]. 

Les normes de systemes de management (IS 9001 pour le management de la qua- 
lite, 14001 pour l'environnement, 27001 pour la securite de l'information) sont 
des outils a produire de la rationalite procedurale. Les normalisateurs eux-memes 
le revendiquent : disposer d'une organisation certifiee IS 9001 ne prouve en rien 
que l'organisation soit d'une qualite particulierement excellente, cela signifie uni- 
quement que les regies de fonctionnement de cette organisation sont documentees 
conformement a la norme (qui impose des regies dans certains domaines precis), 
et que des procedures existent pour verifier que les regies sont appliquees, mais 
l'objet de ces procedures n'est en aucun cas de chercher a savoir si les decisions 
qui ont engendre ces regies etaient judicieuses. On peut dire la meme chose des 
normes IS 14001 et 27001, chacune dans son domaine. 

Pour continuer avec Dupuy : « La rationalite procedurale a du bon, sauf lorsqu'elle 
se construit au prix du renoncement a toute rationalite substantielle. » La sociolo- 
gie des entreprises et revolution des rapports de pouvoir au sein des organisations 
techniques telles que les directions des systemes d'information des entreprises, que 
j'ai decrites dans un ouvrage precedent [19], donnent a penser que c'est bien au re- 
noncement a toute rationalite substantielle que conduisent les normes de systeme 
de management IS 9001 et IS 27001. En effet, pour un dirigeant paresseux, la 
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grande superiorite de la rationalite procedurale sur sa cousine substantielle, c'est 
quelle dispense de toute competence sur son objet, et surtout de toute competence 
technique, ce qui dans notre beau pays est une vertu cardinale, tant la competence 
technique y est meprisee. Grace aux systemes de management, de simples cadres 
administratifs pourront exercer le pouvoir sur des ingenieurs competents, puis- 
qu'il leur suffira pour cela de cocher dans un tableur les cases qui correspondent 
aux etapes des procedures, et de prendre en defaut les acteurs operationnels qui 
n'auront pas rempli toutes les cases, cependant qu'eux-memes ne seront bien sur 
jamais exposes a telle mesaventure. Une caracteristique aussi attrayante rend in- 
evitable le triomphe de ces normes, d'autant plus que la lourdeur des operations de 
constitution des feuilles de tableur et de cochage des cases (il existe aussi un mar- 
che lucratif de logiciels specialises) permettra le developpement demographique 
de la caste administrative et le renforcement de son hegemonie, sans oublier l'es- 
sor des cabinets specialises qui pourront vendre a prix d'or la mise en place de ces 
systemes, puis la redaction de rapports vides de tout contenu « substantiel ». 

II peut sembler hasardeux de formuler un jugement aussi negatif sur les methodes 
desormais classiques de conduite de projet et sur les normes de systeme de 
management : si pratiquement tous les directeurs de systeme d'information les 
adoptent, c'est qu'il doit y avoir de bonnes raisons a cela, qu'ils doivent y trouver 
des avantages. 

La reponse tient en trois points : 

• Le succes de ces methodes de management et des normes qui les accom- 
pagnent n'est pas uniforme a l'echelle internationale, par exemple l'engoue- 
ment pour IS 9001 semble bien etre une specificite francaise. 

• Les dirigeants qui adoptent des methodes administratives de management 
des activites techniques en tirent effectivement des avantages, ceux que j'ai 
decrits ci-dessus, notamment en termes de renforcement du pouvoir admi- 
nistratif et de diminution de l'exigence de competence. 

• Jean-Pierre Dupuy a emprunte a Friedrich von Hayek une theorie qui est de 
plus en plus utilisee par les economistes, et qui etudie les phenomenes d'imi- 
tation au sein de l'economie de marche. Alors que l'economie neo-classique 
se represente un homo ozconomicus autosuffisant et independant, parfaite- 
ment informe et rationnel dans des choix censes le mener a un optimum 
qui, a l'echelle du marche, produirait un equilibre, Hayek met en evidence, 
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apres Adam Smith et Keynes, le role central de X Imitation dans les pheno- 
menes collectifs dont le marche est le cadre. Le role de l'imitation semble 
particulierement important dans les situations de choix entre techniques ri- 
vales, et aucun mecanisme ne garantit que la technique qui va l'emporter 
sera la meilleure. En effet, dans le jeu de miroirs qui precede l'engouement 
mimetique, une simple rumeur peut orienter quelques acteurs vers la cible, 
ce qui declenchera un effet d' avalanche : « [l'imitation generalised] suscite 
des dynamiques auto-renforcantes qui convergent si resolument vers leur 
cible qu'il est difficile de croire que cette convergence n'est pas la manifes- 
tation d'une necessite sous-jacente... ». Nous ne saurions ecarter i'hypothese 
que le succes universel des methodes de gestion de projet pourrait resulter 
d'un phenomene mimetique de ce type : dit en d'autres termes, pour citer 
un proverbe du reseau, « 100 000 lemmings ne peuvent pas avoir tort ». 
De ce qui precede peut-on deduire qu'il faut forcement etre ingenieur informa- 
ticien pour devenir directeur du systeme d'information ? Non, mais un DSI (et 
d'ailleurs tout dirigeant) devra posseder, pour remplir ses fonctions, un certain 
nombre de competences, et il ne pourra pas faire face aux problemes qui se posent 
a lui uniquement avec des procedures administratives normalisees. Le role de l'in- 
formatique dans le monde contemporain est tel que nul ne peut plus se passer d'en 
connaitre les techniques de base. 

Dans le contexte francais ou l'absence de competence technique est devenue un 
atout determinant pour l'acces aux postes de direction des systemes d'information, 
les methodes de management de systeme selon les normes IS 9001 et IS 27001 
acquierent la propriete de predictions autorealisatrices : pour les raisons evoquees 
ci-dessus de nombreux DSI ont d'ores et deja emprunte cette demarche, et leurs 
collegues en retard, qui n'ont pour boussole dans cet univers que l'air du temps et 
le qu'en dira-t-on, trouveront facilement aupres de leurs pairs la confirmation que 
c'est bien dans cette voie qu'il faut aller. Les sommes considerables englouties par 
ces methodes n'apparaissent pas forcement comme des inconvenients, puisqu'elles 
renforcent l'impoitance et le prestige de celui qui les ordonne, et donnent satisfac- 
tion a la direction generale, qui ne dispose en general ni des informations ni des 
moyens d'investigation necessaires pour se former une opinion sur le sujet, et qui 
peut faire etat du recours a ces methodes eprouvees pour repondre aux questions 
des auditeurs ou des actionnaires. 
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Quant a nous, nous nous efforcerons au cours des chapitres suivants de dispenser 
les principes de securite substantielle qui nous semblent le socle de ce que doit etre 
aujourd'hui un systeme sur, et que plus grand monde ne peut se permettre d'igno- 
rer totalement, que ce soit dans l'entreprise ou dans l'usage prive des ordinateurs 
et des reseaux. 

Richard Feynman a propos de la conduite de projet 

Un des derniers ecrits du physicien Richard P. Feynman, prix Nobel 1965, fut 
une annexe [50] au rapport de la Commission Rogers redige a la demande des 
autorites gouvernementales americaines a la suite de l'accident dramatique de la 
navette spatiale Challenger et destine a en elucider les circonstances. II y a suffi- 
samment de points communs entre un sinistre spatial et un sinistre informatique 
pour que les lecons tirees de celui-la puissent etre utiles a ceux qui se preoccupent 
de celui-ci ; en effet, si les objets produits par l'industrie spatiale et par l'industrie 
informatique paraissent tres dissemblables, les methodes de conduite de projet 
mises en oeuvre dans l'un et 1' autre cas puisent a la meme source d'inspiration (le 
projet Apollo dans les annees 1960), et risquent done d'avoir des effets similaires. 
En outre, meme si le risque semble bien moindre de mettre en danger des vies hu- 
maines dans le second cas que dans le premier, il convient de noter qu'une navette 
spatiale incorpore des millions de lignes de logiciel informatique, soit embarque 
soit dans les installations au sol, sans oublier les programmes qui ont servi a sa 
conception. II n'y a done aucune raison de se priver des enseignements prodigues 
a cette occasion par un des scientifiques du XX e siecle les plus reputes, notamment 
pour ses talents pedagogiques. 

Pour etablir son rapport, R. Feynman a rencontre differents experts qui avaient 
participe a la conception et a la realisation de la navette spatiale, ou qui avaient 
donne des consultations a son sujet avant ou apres l'accident, et il a lu leurs rap- 
ports. II a ete frappe par la discordance extraordinaire, parmi les experts et les 
officiels de la NASA, des opinions relatives au risque d' accident mortel, puis- 
qu'elles vont de 1 accident sur 100 vols a 1 accident sur 100 000 vols, ou les pre- 
mieres emanent surtout des ingenieurs qui ont reellement travaille sur le projet, 
et les dernieres plutot des managers. II a egalement observe la diminution au fil 
du temps de la severite des criteres de certification, au fur et a mesure que les vols 
sans incidents instauraient l'idee que « puisque le risque avait ete encouru jusqu'a 
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present sans qu'un accident survienne, il pouvait etre accepte pour la prochaine 
fois ». 

Pour ce qui nous concerne ici, la passage le plus interessant du texte est celui 
qui a trait aux moteurs a combustible liquide de la navette (Space Shuttle Main 
Engines, SSME). Ces composants sont parmi les plus complexes de l'ensemble. 
Feynman explique que la methode habituelle de conception de tels moteurs (par 
exemple pour des avions civils ou militaires) procede selon une demarche de has en 
haut (bottom up) : on commence par etudier les caracteristiques souhaitables des 
materiaux a utiliser, puis on teste des pieces elementaires au banc d'essai. Sur la 
base des connaissances acquises ainsi, on commence a tester des sous-ensembles 
plus complexes. Les defauts et les erreurs de conception sont corriges au fur et a 
mesure : comme ils ne portent que sur des parties de l'ensemble, les couts sont 
moderes. Si des defauts sont encore detectes au moment de 1' assemblage de l'en- 
semble, ils restent relativement faciles a localiser et a corriger, notamment du fait 
de 1' experience acquise par les tests de sous-ensembles. 

Or les moteurs a combustible liquide de la navette n'ont pas ete concus selon cette 
demarche bottom up, mais selon l'approche inverse, de haut en bas (top down), 
c'est-a-dire que le moteur a ete concu et realise tout en meme temps, avec tres 
peu d' etudes et d'essais prealables des materiaux et des composants ; avec une telle 
demarche, la recherche de l'origine d'un defaut ou d'une erreur de conception est 
beaucoup plus difficile qu'avec la methode bottom up, parce que Ton dispose de peu 
d'informations sur les caracteristiques des composants. II faut alors utiliser le mo- 
teur complet comme banc d'essai pour trouver la panne, ce qui est tres difficile et 
onereux. II est en outre difficile dans ces conditions d'acquerir une comprehension 
detaillee des caracteristiques et du fonctionnement du moteur, comprehension qui 
aurait ete de nature a fonder la confiance que Ton aurait pu avoir en lui. 

La methode top down a un autre inconvenient : si Ton trouve une erreur de concep- 
tion sur un sous-ensemble, comme la conception n'en a pas ete isolee, mais inte- 
gree dans la conception d'ensemble, il faut repenser la conception generale. II est 
a craindre que pour des erreurs jugees mineures (a tort ou a raison), la lourdeur 
des investigations a entreprendre n'incite a renoncer a reprendre la conception de 
l'ensemble, alors qu'il faudrait le faire. 
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Nous pensons que cette critique de la methode top down par Richard P. Feynman 
s'applique bien aux systemes informatiques, et particulierement aux systemes de 
securite informatique. Mais ne lui faisons pas dire ce quelle ne dit pas : il convient 
bien sur d' avoir une vision d'ensemble du systeme, simplement il ne faut pas lui ac- 
corder les vertus quelle n'a pas, elle ne doit pas etre trop precise, ce n'est pas d'elle 
qu'il faudra deduire la conception detaillee des elements et des sous-systemes. 



2 



Les differents volets 
de la protection du SI 



Avec ce chapitre nous entamons la teneur technique de notre sujet, mais en dou- 
ceur : les droits d'acces et leur verification, l'authentification et le chiffrement sont 
decrits en termes generaux... ainsi que certaines attaques dont ils peuvent faire 
l'objet. 



^indispensable securite physique 

Avant d'entrer plus avant dans le vif de notre propos, il convient de faire un detour 
par un sujet que nous ne traiterons pas en detail, mais qu'il importe d'evoquer : 
toute mesure de protection logique est vaine si la securite physique des donnees et 
des traitements n'est pas convenablement assuree. II convient done d'accorder un 
soin jaloux aux points suivants : 

• qualite du batiment qui abrite donnees et traitements, a l'epreuve des in- 
temperies et des inondations, protege contre les incendies et les intrusions ; 
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• controles d'acces adequats ; 

• qualite de l'alimentation electrique ; 

• certification adequate du cablage du reseau local et des acces aux reseaux 
exterieurs ; la capacite des infrastructures de communication est tres sensible 
a la qualite physique du cablage et des connexions ; 

• pour l'utilisation de reseaux sans fil, placement meticuleux des bornes d'ac- 
ces, reglage de leur puissance d'emission et controle des signaux en prove- 
nance et a destination de l'exterieur. 

Ces precautions prises, il faut neanmoins envisager qu'elles puissent se reveler in- 
suffisantes, et que l'integrite physique de votre systeme d'information soit alors 
compromise. La compromission d'un systeme d'information designe le fait qu'un 
intrus ait pu, d'une facon ou d'une autre, en usurper l'acces pour obtenir des infor- 
mations qui auraient du rester confidentielles. Pour eviter que cette circonstance 
n'entraine la disparition de l'entreprise, il aura fallu prendre les mesures suivantes : 

• sauvegarde reguliere des donnees sur des supports physiques adequats dis- 
tincts des supports utilises en production ; 

• transport regulier de copies de sauvegarde en dehors du site d'exploitation ; 

• amenagement d'un site de secours pour les applications vitales. 

Ces precautions seront inoperantes si elles ne font pas l'objet d'une documentation 
tenue a jour et d'exercices periodiques : en situation de catastrophe, il s'avere que 
les humains ne savent faire que ce a quoi ils sont entraines, des actions complexes 
qui n'auront jamais ete effectuees « a blanc » ne pourront avoir pour consequence 
qu'une catastrophe encore plus grave. 

Des solutions techniques existent pour toutes ces mesures, mais leur mise en 
ceuvre est complexe et onereuse, ce qui conduit souvent a les negliger. Le debit des 
reseaux modernes permet de disposer a plusieurs kilometres du site d'exploitation 
un site miroir dont les donnees pourront etre mises a jour heure par heure, ou 
meme en temps reel si cela est vraiment indispensable, le cout n'est meme pas tel- 
lement eleve, mais la conception et la realisation d'une telle organisation sont loin 
d'etre des taches faciles. De meme, la complexite d'un plan de sauvegarde pour 
quelques dizaines de serveurs en reseau ne doit en aucun cas etre sous-estimee. 

La securite des donnees peut egalement etre amelioree par le recours aux possi- 
bilites des materiels modernes de stockage et de leurs logiciels de pilotage : les 
systemes NAS (Network Attached Storage) offrent des possibilites interessantes de 
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prise d'instantanes (snapshots) et de replication a distance, les batteries de disques 
RAID et les systemes de fichiers virtuels tels que Logical Volume Management 
(LVM) diminuent grandement les risques de perte de donnees en cas de de- 
faillance d'un disque. Le lecteur sera bien avise de s'interesser a ces sujets, qui 
font l'objet de nombreux et volumineux ouvrages, et dont nous ne saurions don- 
ner ici plus que cette enumeration breve et non exhaustive ; on pourra se reporter 
a mon propre texte pour une introduction succincte, et a l'excellente synthese de 
Curtis Preston [86] pour une explication complete et une bibliographie. 

Les mesures evoquees ici sont des missions pour des ingenieurs specialises, de 
haut niveau, et surtout experimentes. Nous n'entrerons pas plus dans les details de 
ces actions, mais nous ne saurions trop mettre en garde contre la tentation de les 
negliger. 



Proteger le principal : le systeme Sexploitation 

Afin d'etre liable, un systeme d' exploitation digne de ce nom doit comporter des 
dispositifs et des procedures de protection des objets qu'il permet de creer et de 
manipuler. Les objets a proteger appartiennent a deux grandes categories : les 
objets persistants tels que les fichiers, et les objets ephemeres crees en memoire 
pendant l'execution d'un processus et destines a disparaitre avec lui. Les objets 
materiels, tels que peripheriques physiques, interfaces reseau, etc., sont assimi- 
les a des objets persistants. La protection consiste a empecher qu'un utilisateur 
puisse alterer un fichier qui ne lui appartient pas sans que le proprietaire lui en 
ait donne l'autorisation, ou encore, par exemple, a empecher qu'un processus en 
cours d' execution ne modifie une zone memoire attribute a un autre processus 
sans l'autorisation du proprietaire de celui-ci. 

Droits d'acces 

De facon tres generale, la question de la protection d'un objet informatique se 
pose dans les termes suivants, inspires des concepts mis en ceuvre par le systeme 
Multics [80] (voir aussi CROCUS [37]) : 



a http : //www . laurent-bloch . org/Livre- Systeme/livre008 . html. 
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• Un objet a un proprietaire identifie, generalement l'utilisateur qui l'a cree. 
Un objet est, sous reserve d'inventaire, soit un fichier, soit un processus, soit 
des structures de donnees ephemeres creees en memoire par un processus, 
mais pour Multics tous ces objets sont en fin de compte des espaces de 
memoire virtuelle nommes segments ou sont contenus dans des segments. 

• Le proprietaire d'un objet peut avoir confere a lui-meme et a d'autres uti- 
lisateurs des droits d'acces a cet objet. Les types de droits possibles sont en 
general les suivants (on peut en imaginer d'autres) : 

- droit d'acces en consultation (lecture) ; 

- droit d'acces en modification (ecriture, destruction, creation) ; 

- droit d'acces en execution ; pour un programme executable, la signifi- 
cation de ce droit est evidente ; pour un repertoire de fichiers ce droit 
confere a ceux qui le possedent la faculte d'executer une commande ou 
un programme qui consulte ce repertoire ; 

- droit de blocage, par exemple pour un processus en cours d' execution 
ou eligible pour 1' execution. 

• A chaque objet est done associee une liste de controle d'acces (access control 
list) qui enumere les utilisateurs autorises et leurs droits. 

• Avant toute tentative d'acces a un objet par un utilisateur, l'identite de cet 
utilisateur doit etre authentifiee. 

• Pour qu'un utilisateur ait le droit d'executer une action sur un objet, et dans 
un systeme informatique cette action est perpetree par l'entremise d'un pro- 
cessus, il faut en outre que le processus en question possede \& pouvoir voulu. 
Le pouvoir est un attribut d'un processus, il peut prendre des valeurs qui 
conferent a ce processus des privileges plus ou moins etendus. La plupart 
des systemes ne proposent que deux valeurs de pouvoir : le mode super- 
visee, qui confere le pouvoir absolu, et le mode utilisateur, qui limite les 
actions de l'utilisateur en question aux objets dont il est proprietaire. Mais 
nous allons voir que certains systemes ont afflne la hierarchie des valeurs de 
pouvoir. 

• La valeur du pouvoir d'un processus peut changer au cours de son execution. 
Ainsi un processus qui se deroule dans un mode utilisateur peut faire une 
demande d'entree-sortie, ce qui necessite le mode superviseur. Ceci sera re- 
solu, sous Unix par exemple, par le mecanisme de l'appel systeme, qui trans- 
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fere le controle, pour le compte du processus utilisateur, a une procedure du 
noyau qui va travailler en mode superviseur. 
• Nous definirons la notion de domaine de protection dans lequel s'execute un 
processus comme l'ensemble des objets auxquels ce processus a acces et des 
operations qu'il a le droit d'effectuer sur ces objets. Lorsqu'un processus 
change de valeur de pouvoir, il change par la-meme de domaine de protec- 
tion. 

Verification des droits, imposition des protections 

Les dispositifs et procedures de protection du systeme d' exploitation vont consis- 
ter a faire respecter les regies qui decoulent des droits et pouvoirs enumeres ci- 
dessus et a empecher leur violation. La protection au sens ou nous allons l'etudier 
dans ce chapitre ne consiste pas a empecher les erreurs humaines, les defaillances 
techniques ou les actes de malveillance qui pourraient faire subir a un objet un sort 
non desire, mais seulement a empecher leur incidence sur les objets en question. 
II faut proteger les donnees et les processus d'un utilisateur contre les processus 
des autres utilisateurs, proteger le fonctionnement du systeme contre les processus 
des utilisateurs et vice-versa, enfin proteger les uns des autres les processus d'un 
meme utilisateur. 

La qualite des dispositifs et procedures de protection fait la surete d'un systeme 
d' exploitation. On concoit notamment aisement que le controle des droits et des 
pouvoirs doive etre a l'abri des manipulations d'utilisateurs desireux sans legitimite 
d'accroitre leurs privileges, ce qui signifie que les procedures de controle doivent 
s'executer avec le mode de pouvoir le plus grand et les droits les plus etendus, in- 
accessibles aux utilisateurs ordinaires. Cette reflexion de bon sens suffit a refuser 
le qualificatif « sur » a tel systeme d' exploitation qui comporte un systeme per- 
fectionne de listes d'acces realise... en mode utilisateur, et pour lequel de surcroit 
l'identification des utilisateurs est facultative. 

En effet, et cela va sans dire, mais disons-le : il ne sert a rien de controler les 
droits et les pouvoirs du proprietaire d'un processus si son identite n'est pas deja 
raisonnablement certaine. Les procedures d'identification et d'authentification des 
utilisateurs sont un prealable a toute strategie de protection. 
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Gerer l'authentification 

Les sections precedentes ont presente les principes de conception des dispositifs 
de protection fournis par les systemes d' exploitation modernes : il convient de 
garder a l'esprit que ces dispositifs ne seront efficaces que s'ils sont effectivement 
utilises selon des politiques de securite dont les grandes lignes feront l'objet de la 
suite de ce chapitre. 

Separation des privileges 

La separation des privileges consiste a attribuer a chaque utilisateur, ou a chaque 
activite du systeme, les privileges dont il a besoin, et pas d'autres. C'est le principe 
du privilege minimum qui doit s'appliquer ici. 

Ainsi, sur un systeme Unix par exemple, il existe un utilisateur root dote de tous 
les droits sur tous les objets du systeme : il peut creer, detruire ou modifier tous les 
fichiers, lancer ou interrompre toutes les activites et tous les programmes. Autant 
dire qu'il est tres dangereux de commettre une fausse manoeuvre lorsque Ton est 
connecte au systeme sous le compte root, puisque Ton peut par exemple effacer 
l'ensemble d'un systeme de fichiers, ou corrompre des fichiers de parametres du 
systeme de telle sorte qu'il ne pourra plus fonctionner, ou que sa securite sera for- 
tement compromise. Le principe de separation des privileges commande de n'uti- 
liser le compte root que le moins souvent possible, de preference jamais. II existe 
des dispositifs qui permettent aux administrateurs du systeme d'accroitre leur ni- 
veau de privileges autant que de besoin, et quand il est besoin, pour une action 
precise, et pour celle-ci seulement. De surcroit, les journaux du systeme, destines 
a garder la trace de tous les evenements significatifs qui y surviennent, enregistre- 
ront l'identite reelle des auteurs des actions qui ont necessite une augmentation 
de privilege, ce qui est egalement indispensable a une bonne administration de la 
securite. 

De meme, certains programmes sont destines a executer des actions privilegiees, 
mais cantonnees a une partie delimitee du systeme. Le serveur central d'un sys- 
teme de bases de donnees doit disposer des privileges qui lui donneront les moyens 
de commettre toutes actions necessaires sur les bases de donnees, mais unique- 
ment dans ce domaine. De meme pour le logiciel de sauvegarde ou pour le serveur 
de transfert du courrier electronique : ces programmes devront etre executes sous 
le compte d'un pseudo-utilisateur special, dote uniquement des privileges neces- 
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saires pour son domaine d' action, et pour lui seul. De tels serveurs ne doivent pas 
etre lances sous le compte de l'utilisateur root. Les outils de configuration des 
systemes Unix modernes, tels que Linux ou OpenBSD, etablissent automatique- 
ment ces mesures de separation des privileges, et il convient de n'y rien modifier. 

Quant aux utilisateurs ordinaires, il convient de ne leur conferer de droits d'acces 
en creation, en ecriture et en destruction qu'a leurs propres donnees, et en lecture 
aux donnees partagees, autant que de besoin. 

Nous evoquerons a nouveau, de facon plus technique, la question de la separation 
des privileges a la page 101. 

Identification et authentification 

Des lors que l'identite d'un utilisateur du systeme determine ses privileges et ses 
droits d'acces a telles ou telles donnees, il convient que cette identite soit cor- 
rectement administree, quelle ne puisse pas etre usurpee par un tiers, et que son 
authenticity puisse etre verifiee. 

Avant toute chose, les utilisateurs doivent etre convaincus du caractere prive de 
leur identite : cela semble evident, mais de mauvaises habitudes heritees des pre- 
miers temps de l'informatique conduisent encore beaucoup de systemes a etre uti- 
lises par plusieurs personnes sous un compte unique dont tout le monde connait 
le mot de passe : une telle habitude doit etre combattue sans relache, parce que sur 
un tel systeme aucune securite n'existe ni ne peut exister. L'interdiction de telles 
pratiques devrait figurer dans une charte d'usage des systemes et des reseaux, va- 
lidee par les instances de concertation telles que le comite d'entreprise et annexee 
au reglement interieur. 

Pour qu'un systeme d'identification soit efficace, il faut que l'utilisateur puisse 
se l'approprier facilement. On evitera done autant que possible d' avoir un sys- 
teme d'identification particulier pour chaque application, et on se dirigera plutot 
vers les systemes d'identification centralises, par exemple le Single Sign-On (SSO) ; 
l'encadre ci-apres precise ces notions. 
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Le Single Sign-On (SSO) 

Le souhait legitime de tout utilisateur d'un systeme informatique est la simplicite d ' utili- 
sation . En de nombreux endroits il y a encore, pour identifier une seule et meme personne 
une multiplicity d'identifiants et de mots de passe, cela pourrait etre : 

• mon login de messagerie est jdupont; 

• mon login pour acceder a I'application de gestion des conges payes jdu, etc. 

Certains organismes ont deja fait des efforts pour faciliter la vie de leurs utilisateurs : 
un seul et meme login est utilise pour la totalite des applications. Toutefois I'utilisateur 
doit ressaisir celui-ci et le mot de passe associe chaque fois qu'il ouvre son application. 
II n'est pas rare de devoir saisir ces donnees plusieurs dizaines de fois en une journee de 
travail. En plus de I'agacement lie a la saisie multiple de I'identifiant et du mot de passe 
il y a des risques de securite reels : 

• ces donnees sont probablement dupliquees dans les formats natifs de chacune des 
applications ; 

• puis-je faire confiance au format de stockage des mots de passe des applications? 

• la gestion du changement de mot de passe devient plus complexe. 
Les objectifs des solutions dites de SSO sont done multiples : 

• avoir un referentiel centralise des identites et des mots de passe, referentiel auquel 
les applications s'adressent pour verifier I'identite d'un utilisateur; 

• ne jamais divulguer le mot de passe (meme sous une forme chiffree) a une ap- 
plication, au pire I'application fournira au systeme de SSO les identifiants recus 
de I'utilisateur pour validation et au mieux un systeme de tickets (inspire de 
Kerberos) entre les trois acteurs que sont I'utilisateur (et son navigateur Web), 
le serveur d'authentification du SSO et I'application, ce qui permet de ne ja- 
mais transmettre les elements secrets (le mot de passe ou ce qui le remplace) a 
I'application ; 

• eviter les saisies multiples de I'identite pour acceder a plusieurs applications. 

C'est ce dernier point qui est bien sur le plus important aux yeux de I'utilisateur fi- 
nal, mais c'est aussi le plus difficile a mettre en ceuvre. Si la prise en charge de tels 
systemes prend une certaine ampleur avec des applications « webisees », grace a I ' uti- 
lisation de HTTPS (HTTP (pour Hypertext Transport Protocol) est le protocole de 
circulation des donnees sur le Web; HTTPS en est la version securisee par chiffrement) 
et de cookies (les cookies sont des elements de donnees qui permettent de conserver 
I'identification d'un utilisateur sur le Web pour une serie de transactions), la mise en 
ceuvre d'un tel systeme dans le cadre d'autres applications dites « lourdes » est, elle, 
plus complexe meme impossible car elle ne permet pas d'utiliser les memes flux de 
donnees entre I'utilisateur final, I'application et le serveur d'authentification. Le lecteur 
desireux d'approfondir sa connaissance du fonctionnement, complexe, d'un systeme de 
SSO pourra utilement lire deux presentations faites aux JRES 2003 par Olivier Sa- 
laun (Olivier Salaiin. « Introduction aux architectures Web de Single-Sign On ». 2003. 
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http://2083.jres.org/actes/paper.116.pdf) et par Pascal Aubry et ses collegues 
(Pascal Aubry, Julien Marchal, et Vincent Mathieu. « Single Sign-On Open Source avec 
CAS». 2003. http://28Q3.jres.org/actes/paper.139.pdf). 

Mettre en oauvre et exploiter un tel systeme apporte un confort indeniable, mais cela 
a un cout : I'investissement eventuel pour une solution du marche, les competences 
requises pour la mise en oeuvre et I'exploitation de tous les jours, et enfin, I'adaptation 
des applications « Web » au produit retenu. De I'avis meme de ceux qui ont deploye 
de telles solutions, le plus difficile est I'adaptation des applications au systeme de SSO 
retenu. 



Le bon vieux mot de passe 

En cette annee 2006, le precede d'authentification le plus utilise est surement 
encore, de loin, et malgre ses faiblesses bien connues, le couple identiflant- 
mot de passe (login- password) . Rappelons-en brievement le principe, en prenant 
l'exemple d'un systeme Unix (ou Linux, qui, rappelons-le, n'est qu'une variete 
d'Unix). 

Sous Unix, la creation du compte d'un utilisateur cree une entree dans le fichier 
/etc/passwd. Ce fichier contient une entree par utilisateur, chaque entree com- 
porte plusieurs champs separes les uns des autres par le caractere : ; les champs 
sont : 

• le nom d'utilisateur, ou identifiant, qui est une chaine de caracteres qui iden- 
tifie de facon unique cet utilisateur ; cet identifiant est aussi appele nom de 
login ; 

• la representation chiffree du mot de passe de l'utilisateur ; nous verrons d'ici 
peu qu'en fait cette representation chiffree est conservee ailleurs que dans le 
fichier /etc/passwd, pour des raisons de securite ; 

• le numero d'identification (uid) de l'utilisateur; 

• le numero de groupe (gid) de l'utilisateur ; 

• le vrai nom de l'utilisateur ; 

• son repertoire d'accueil ; 

• son programme d'accueil (shell). 

Le fonctionnement d'Unix exige que le fichier /etc/passwd soit accessible en 
lecture par tout le monde : cela ouvrait a des malveillants la possibilite de re- 
cuperer les mots de passe chiffres des utilisateurs, puis d'essayer de les « casser » 
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tranquillement sur leur ordinateur. Sachant que la fonction qui prend un mot de 
passe « en clair » pour le chiffrer est publique, les methodes les plus ordinaires pour 
essayer de casser un mot de passe sont : 

• l'attaque par force brute, qui consiste a essayer successivement toutes les 
combinaisons possibles de caracteres pour generer des mots de passe ar- 
bitrages, les chiffrer et comparer le resultat au texte chiffre obtenu par le 
« pompage » de /etc/passwd ; 

• l'attaque par dictionnaire, ou Ton utilise une liste de mots courants et ou 
Ton essaye successivement toutes les variations orthographiques ou typo- 
graphiques possibles de ces mots, chiffres au moyen de l'algorithme utilise, 
pour ici aussi comparer le resultat au texte chiffre de /etc/passwd. 

Ces methodes, surtout la seconde, donnent generalement des resultats positifs, 
alors pour eviter ce risque les mots de passe chiffres ne sont en general plus 
conserves dans le fichier /etc/passwd, mais dans un fichier aux droits d'acces 
plus restreints, /etc/shadow. 

Listes de controle d'acces 

Comme nous l'avons signale ci-dessus page 38, les listes de controle d'acces (access 
control list, ACL) procurent une separation des droits et privileges plus fine que 
les dispositifs standard d'un systeme comme Unix, en permettant d'accorder des 
autorisations a un utilisateur particulier pour un fichier particulier. 

Les liste de controle d'acces pour le reseau seront decrites dans le chapitre 6, a la 
page 132 

ACL Posix 

Une ACL POSIX est associee a un fichier ou a un repertoire ; elle est constitute 
d'une liste d'entrees qui appartiennent a l'un des types suivants : 



Type d'entree 


Forme de l'entree 


Proprietaire 


user : : rwx 


Utilisateur nomme 


user :nom :rwx 


Groupe proprietaire 


group : : rwx 


Groupe nomme 


group :nom :rwx 


Masque 


mask : : rwx 


Autres 


other : : rwx 
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Les lettres rwx signifient read, write, execute (lire, ecrire, executer) et designent 
les trois types d'autorisation que peut designer une entree d'ACL. Ainsi, la liste 
suivante : 

user : : rw- 
user:pierrot:rw- 
group : :r-- 
mask : : rw- 
other : : 

donne-t-elle, pour le fichier concerne, les droits de lecture et d'ecriture au pro- 
prietaire du fichier et a l'utilisateur Pierrot, les droits de lecture au groupe du 
proprietaire, et aucun droit aux autres utilisateurs. 

Utiliser les ACL Posix sur un systeme de fichiers d'un ordinateur sous Linux 
necessite une modification de ce systeme de fichiers afin d'y introduire les donnees 
supplementaires propres aux ACL. Pour les systemes Windows recents les ACL 
sont disponibles de facon standard. 

Historique des ACL 

Les ACL sont apparues en 1984 dans la version 4 du systeme d'exploitation VMS 
(Virtual Memory System) pour les ordinateurs VAX de Digital Equipment . L'idee 
en a ete reprise par Cisco pour le systeme IOS (Internet Operating System) de ses 
routeurs. Les ACL font depuis 2002 l'objet d'une norme POSIX, mais leur im- 
plantation dans les differents systemes d'exploitation reste assez heterogene. 

Le chiffrement asymetrique 

Nous allons donner ici une premiere presentation (une seconde presentation, plus 
technique, prendra place au chapitre 4 page 71) d'une famille de methodes d'au- 
thentification, de signature et de chiffrement : le chiffrement asymetrique, famille 
a laquelle appartiennent notamment les methodes dites a cle publique. Ces me- 
thodes sont aujourd'hui largement utilisees ; nous verrons que l'authentification et 
la signature sont en fait des usages particuliers du chiffrement, ce pourquoi cette 
section sort de son cadre initial, qui etait 1'authentification, pour s'aventurer vers 
le chiffrement, qui pourrait sembler un sujet assez eloigne. 

Pour reprendre les termes de Christian Qyeinnec dans la preface du present 
ouvrage, l'invention par Withheld Diffie et Martin E. Hellman [40] d'une nou- 
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velle methode d'echange de cles a permis de resoudre un probleme ouvert depuis 
des millenaires : comment deux personnes, ne se connaissant au prealable pas, 
peuvent-elles elaborer un secret commun a elles seules en n'ayant echange que des 
messages publics ? Cette revolution ouvrait la voie a l'invention par Ronald Rivest, 
Adi Shamir et Leonard Adleman du chiffrement asymetrique [91], qui permet a tout 
un chacun de publier sur son site Web la cle de chiffrement a utiliser pour lui 
envoyer un message secret. 

Les principes mathematiques du chiffrement asymetrique sont exposes (de fa- 
con aussi simple que possible) au chapitre 4 page 71. Nous allons ici expliquer 
comment il est utilise et pourquoi il est si interessant, en le considerant (provi- 
soirement done) comme une boite noire, ou comme une fonction mathematique 



nommee Chiffrer, dont la fonction inverse serait Chiffr 



rer 



-1 



Chiffrer Chiffr 



-1 



Ainsi, si x ► y, alors y ► x. 

L'idee de base du chiffrement asymetrique, e'est que la fonction Chiffrer est dif- 
ficilement inversible : calculer Chiffrer est (relativement) facile, mais calculer Chif- 
frer -1 est tres difficile, en pratique impossible. 

Nous souhaitons pouvoir faire quatre choses avec notre systeme de chiffrement : 



signer un document 


verifier l'authenticite d'une signature 


chiffrer un document a envoyer 


dechiffrer un document recu 



Nous pourrions ajouter : s'authentifier lors de l'acces a un service, et verifier une 
tentative d'authentification. Ce sont des cas particuliers de signature. 

Les imperatifs a respecter sont les suivants : 

• la signature electronique doit etre difficile a falsifier (en pratique, ce doit 
etre impossible, mais cette impossibilite n'est pas demontrable mathemati- 
quement) ; 

• en d'autres termes, il doit etre difficile de se procurer les dispositifs qui 
peuvent fabriquer la signature, pour fabriquer par exemple un faux ; 

• l'authenticite d'une signature doit en revanche etre facile a verifier ; 

• de meme, il doit etre difficile de dechiffrer un document chiffre quand on 
n'en est pas le destinataire legitime, e'est-a-dire en « cassant » le code ; 

• en revanche il doit etre facile de chiffrer un document de sorte que seul son 
destinataire legitime soit en mesure de le dechiffrer. 
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Sans anticiper sur le chapitre 4 consacre a une etude plus detaillee des methodes 
de chiffrement, et en resumant a 1' extreme, on peut enoncer la chose ainsi : 

• la cle secrete Ksec, qui permettra de signer un document de maniere in- 
falsifiable ou de dechiffrer un document chiffre, sera un couple de grands 
nombres premiers : p, q, qui auront chacun de l'ordre de 150 chiffres deci- 
maux; 

• la cle publique Kpub, publiee dans un annuaire ou sur un site Web, sera le 
produit de ces deux nombres : p x q. 

En disant cela on glisse sur quelques details techniques, mais le fond de la question 
est celui-la. L'idee est la suivante : il est tres facile, connaissant p et q, de calculer 
pxq, mais tres difficile, connaissant pxq, d'en deduire p et q si ces deux nombres 
sont suffisamment grands. 

Chiffrement et dechiffrement 

Si Aicha veut envoyer un message secret M a Berthold (ces prenoms sont choisis 
parce que l'auteur est las des sempiternels Alice et Bob), elle recupere la cle pu- 
blique de Berthold (on chiffre toujours avec la cle publique du destinataire) Kpub 
dans l'annuaire de son site Web, par exemple, et le chiffrement consiste en une 
transformation mathematique simple pour obtenir le chiffre C : 

C = Chiffrer(M, Kpub da destinataire) 

Pour dechiffrer, Berthold utilise sa cle privee : 

M = CHffrer~ X {C, K sec du destinataire) 

Signature et verification 

Supposons maintenant que le message d'Aicha ne soit plus secret, mais quelle 
veuille le signer de telle sorte que Berthold soit certain de son origine, done qu'il 
emane bien d'elle, et que ce ne soit pas par exemple un faux fabrique par le me- 
diant Jean- Kevin. 

Outre sa fonction de chiffrement, Chiffrer est aussi utilisable de facon tres simple 
pour signer de facon sure et non repudiable un document. II est important qu'une 
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Figure 2.1 

Chiffrer et Chiffrer 1 



Chiffrer 



-1 




Ksec 
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la clef publique 
Kpub 

Chiffrer 




signature ne puisse pas etre repudiee, c'est-a-dire que le signataire ne puisse pas 
pretendre qu'il n'est pas l'auteur du document signe, que cette signature n'est pas 
son oeuvre. La qualite de resistance a la repudiation doit resider dans une preuve de 
la signature, detenue par le destinataire du document signe, verifiable par un tiers, 
et inalterable par le signataire. Pour conferer cette qualite prisee a sa signature, il 
suffit que le signataire la chiffre avec sa cle privee : le destinataire la dechiffrera 
avec la cle publique du signataire, et si le dechiffrement reussit ce sera la preuve 
que la signature est authentique, en d'autres termes une authentification sure. 

Une autre methode consiste a signer un « resume numerique » du message. Ce 
resume, appele condensat, est produit par un algorithme de condensation, tel MD5 
cree par Ronald Rivest, ou SHA {Secure Hash Standard FIPS 180-1). Le principe 
d'une fonction de condensation (parfois appelee hachage) est le suivant : soient M 
et M' deux messages, et H la fonction : 

1. si M ^ M', la probability que H(M) = H(M') est tres voisine de ; 

2. quel que soit M, il est difficile de trouver un M' ^ M tel que H(M') = 
H(M). 

Cette propriete d'un algorithme de condensation que l'on ne puisse pas trouver 
facilement deux textes differents qui donnent le meme resume est appelee la resis- 
tance aux collisions, elle est essentielle. 

Un auteur peut par consequent signer en calculant le condensat de son message, 
en le chiffrant grace a sa cle privee puis en le diffusant. Tout detenteur de sa cle 
publique et du message sera en mesure de verifier la signature. 
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Outre une signature non repudiable, ce precede garantit en pratique l'integrite du 
message. 

La signature est effectuee en deux temps : 

• Le logiciel (de courrier electronique, par exemple) de l'ordinateur d'Aicha 
calcule un resume du message selon un des algorithmes convenus et publics, 
tels que MD5 ou SHA-1, qui repondent aux conditions suivantes : 

— connaissant le resume R d'un message M, il est tres difficile de fabri- 
quer un message M different auquel corresponde le meme resume R ; 

— la probability que deux messages donnent le meme resume est tres 
faible. 

• Aicha chiffre le resume avec sa cle privee. 

Lorsque Berthold recoit le message dAicha, il fait deux choses (ou plutot c'est son 
logiciel de courrier electronique qui le fait) : 

• il dechiffre le resume chiffre avec la cle publique dAicha ; 

• il calcule le resume du message par le meme algorithme qu Aicha ; 

• si les deux resumes sont egaux, le message a bien ete signe par Aicha, seule 
detentrice de sa cle privee. 

Dans le cas d'un message chiffre ou signe envoye a plusieurs destinataires, les 
methodes utilisees en pratique emploient des algorithmes propres a eviter de re- 
produce le corps du message en autant d'exemplaires que de destinataires ; ces 
methodes sont decrites a la page 174. 



Comprendre les failles et les attaques 
sur les logiciels 

L'idee du chiffrement asymetrique avec un couple cle publique-cle privee semble 
tellement puissante qu'on ne voit pas de raison pour quelle ne supplante pas toutes 
les autres techniques. En fait un algorithme aussi puissant soit-il ne resout pas tous 
les problemes. D'abord les algorithmes de chiffrement asymetriques tel RSA sont 
lourds en temps de calcul, ce qui peut s'averer dissuasif, mais les cryptosystemes 
a cles publiques sont exposes a d'autres menaces, dont l'examen nous confirmera 
qu'il n'existe pas de solution purement technique aux questions de securite. 
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L'attaque par interposition (Man in the middle) 

Le meilleur chiffrement du monde ne peut pas empecher qu'un agent mal inten- 
tionne, disons Charles, se soit fait passer pour Franz, ait intercepts les commu- 
nications d'Anne, et lui ait presente sa cle publique comme etant celle de Franz : 
ainsi Charles pourra facilement dechiffrer les messages d'Anne avec sa propre cle 
privee, les lire, puis les re-chiffrer avec la vraie cle publique de Franz et les faire 
parvenir a ce dernier. Ce type d'attaque, appele Man in the middle (par interpo- 
sition), est difficile a dejouer une fois que Charles a reussi a s'introduire dans le 
circuit de communication ; elle peut etre tentee contre RSA et aussi contre l'al- 
gorithme de Diffie-Hellman, qui sera decrit a la page 75 et sur lequel reposent 
souvent les procedures d'echange de cles. 

Pour eviter le cout en termes de temps de calcul du chiffrement asymetrique, tout 
en beneficiant de la securite qu'il procure, certains protocoles utilisent le precede 
suivant : l'algorithme (asymetrique) de Diffie-Hellman (dont nous verrons par 
quel precede (genial) il permet d'echanger de facon sure des cles de chiffrement 
symetrique classique), n'est utilise qu'une fois, pour echanger des cles de chiffre- 
ment symetrique, qui peuvent alors etre utilisees en confiance. Mais cela n'elimine 
pas le risque lie a l'attaque par interposition. 

En fait nous sommes ramenes au sempiternel probleme dont nous nous croyions 
debarrasses : comment etablir une relation de confiance entre Anne et Franz, com- 
ment echanger des cles dignes de foi. Mais nous avons quand meme accompli un 
progres : cet echange de cles doit etre certifie, mais il peut se faire au grand jour 
puisque les cles sont desormais publiques. Afin d'interdire les identites d'emprunt, 
done l'interposition (Man in the middle), les cles publiques doivent etre signees par 
une autorite superieure, ce qui donne naissance a la notion d'infrastructure de ges- 
tion de cles, ou IGC (PKI en anglais), voir plus loin page 176. 

Vulnerability des cryptosystemes 

L'importance economique et sociale des systemes de chiffrement incite a se poser 
la question de leur vulnerability : meritent-ils la confiance que nous placons en 
eux? 

Recemment des articles ont exhibe des collisions avec l'algorithme SHA-1, ce 
qui prend en defaut les proprietes enoncees a la page 47 [117] [118] [107]. Avant les 
travaux de Mesdames Xiaoyun Wang et Yiqun Lisa Yin, une attaque par collision 
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contre SHA-1 demandait 2 80 operations ; elles ont fait descendre ce nombre a 
2 , ce qui reste considerable, et demanderait sans doute, pour etre realise dans 
un delai compatible avec un objectif operationnel, un calcul distribue a l'echelle 
planetaire. L'algorithme sera sans doute neanmoins renforce. 

Cet episode illustre l'eternelle course aux armements entre les attaquants et les 
defenseurs, qui avait deja lieu entre les fabricants d'epees et les fabricants de bou- 
cliers. Mais il suggere aussi que les vraies attaques criminelles n'empruntent pas la 
voie difficile du cassage de protocole, qui interesse surtout (de facon bien legitime) 
les chercheurs en cryptographic Les pirates recherchent les failles de realisation, 
done souvent de programmation, qui sont helas assez courantes et d'une exploita- 
tion bien plus facile. 



Le mirage de la biometrie 

II est des sujets que la presse grand public fait ressurgir periodiquement lorsqu'elle est 
a court de copie : cela s'appelle des marronniers. Parmi les marronniers informatiques 
figurent en tete les pretentions de l'« intelligence artificielle », avec au premier rang la 
traduction automatique et la reconnaissance vocale. Ces valeurs sures ont ete rejointes 
depuis quelques annees par la biometrie, qui serait la panacee destinee a resoudre tous 
les problemes de controle d'acces au SI. Et depuis que les passeports des Etats-Unis 
comportent des donnees biometriques, cette idee semble aller de soi. 

Or cette idee est tres discutable, sinon fausse, parce qu'elle repose sur une confusion entre 
identification et authentification. Pour reprendre les definitions de I'article de Philippe 
Wolf [124], « s'identifier, e'est communiquer son identite, s'authentifier, e'est apporter la 
preuve de son identite. » Les procedes biometriques sont mieux adaptes a I'identification 
qu'a I'authentification, pour les raisons exposees dans I'article cite ci-dessus, qui retrace 
ainsi le processus que pourrait suivre une authentification par de tels procedes : 
Phase 1 presentation de la donnee biometrique par la personne a authentifier ; 
Phase 2 acquisition de cette donnee par un lecteur biometrique; 

Phase 3 traitement de cette donnee par un dispositif electronique qui la transforme en 
une information numerique, sous forme d'un fichier; ce codage peut faire appel 
a des techniques cryptographiques; 
Phase 4 comparaison de ce fichier caracterisant la personne a authentifier avec une 
donnee de reference (quand la personne s'est identifiee au prealable) ou avec 
des donnees prestockees de references (representant I'ensemble des personnes 
que Ton souhaite authentifier) ; 
Phase 5 decision, a partir de la comparaison effectuee en phase 4, d'authentifier ou non 
la personne grace a une fonction mathematique ou statistique (on retrouve la 
definition initiale de la biometrie). Ici, la decision binaire (reponse par oui ou 
par non) est propagee (de maniere sure de preference) au dispositif informatique 
demandant I'authentification. 
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Dans la reponse a une reponse a cet article (oui, le sujet est controverse), Robert 
Longeon [85] resume avec concision les inconvenients qui resultent d'un tel procede : 
« Les reserves exprimees par I'article sur I'authentification biometrique proviennent du 
fait que I'authentifiant biometrique est une donnee publique (ce que n'est pas, par 
exemple, un bon mot de passe) et non revocable en cas de compromission (un mot de 
passe ou une cle se changent regulierement). » 

En effet, il est dans la nature d'un procede d'authentification d'etre expose a la com- 
promission, et lorsqu'il est compromis il faut pouvoir le revoquer : ainsi un mot de passe 
dont on soupconne la divulgation doit etre change. Les dispositifs biometriques ne sont 
pas a I'abri de la compromission : si I'on considere les cinq phases enumerees ci-dessus, 
il sera peut-etre difficile a un attaquant d'usurper I'empreinte digitale ou I'iris de I'oeil 
de la personne dont il veut usurper I'identite, ce qui correspondrait a une attaque sur la 
phase 1, et certes de telles possibilites d'attaque existent bel et bien (I'attaquant offre 
a la victime une coupe de champagne convenablement instrumentee pour obtenir son 
empreinte digitale, ou meme lui coupe le doigt), mais une attaque sur les phases 3 et 
4 se resume a un simple vol de fichier, ce qui sera d'autant plus genant que la victime 
pourra difficilement revoquer son iris ou son doigt. 

Pour donner un exemple reel des difficultes qui peuvent resulter de I'utilisation a des 
fins d'authentification de donnees irrevocables, on peut rappeler qu'il y a quelques an- 
nees certains etablissements bancaires americains avaient I'habitude de demander au 
telephone a leurs clients d'authentifier leur identite en donnant leur numero de securite 
sociale et le nom de jeune fille de leur mere. Des escrocs se sont procure ces donnees 
et les ont utilisees pour donner aux banques des ordres tout a leur avantage. La si- 
tuation des clients etait tres embarrassante, parce qu'ils ne pouvaient changer ni de 
numero de securite sociale, ni de mere : on avait utilise un identifiant comme procede 
d'authentification, erreur fatale mais frequente. 
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Parmi les multiples precedes d'attaque contre le systeme d'information, il convient 
de reserver une place speciale (et un chapitre ici) a une famille de logiciels mal- 
veillants (les anglophones ont cree a leur intention le neologisme ma/ware) qui 
se repandent en general par le reseau, soit par acces direct a l'ordinateur attaque, 
soit caches dans un courriel ou sur un site Web attrayant, mais aussi eventuelle- 
ment par l'intermediaire d'une disquette, d'une cle USB ou d'un CD-Rom. La 
destination de ces logiciels est de s'installer sur l'ordinateur dont ils auront reussi a 
violer les protections pour y commettre des mefaits, et aussi pour se propager vers 
d'autres victimes. Ce chapitre leur sera consacre ; essayons pour commencer d'en 
dresser une nomenclature. 



Types de logiciels malveillants 



Aujourd'hui, c'est un truisme, quiconque navigue sur l'lnternet ou recoit du cour- 
rier electronique s'expose aux logiciels malveillants que sont les virus, les vers et 
quelques autres que nous allons decrire. Comme tout le monde navigue sur l'ln- 
ternet ou recoit du courrier electronique, il importe que chacun acquiere un mi- 



Principes de securite du systeme d'information 



Premiere partie 



nimum d'information sur ces logiciels nuisibles, ne serait-ce que pour pouvoir les 
nommer aux experts auxquels on demandera de l'aide pour s'en debarrasser. C'est 
l'objet du petit catalogue que void. 



Virus 



Un virus est un logiciel capable de s'installer sur un ordinateur a l'insu de son uti- 
lisateur legitime. Le terme virus est reserve aux logiciels qui se comportent ainsi 
avec un but malveillant, parce qu'il existe des usages legitimes de cette technique 
dite de code mobile : les appliquettes Java et les procedures JavaScript sont des pro- 
grammes qui viennent s'executer sur votre ordinateur en se chargeant a distance 
depuis un serveur Web que vous visitez, sans que toujours vous en ayez conscience, 
et en principe avec un motif legitime. Les concepteurs de Java et de JavaScript 1 
nous assurent qu'ils ont pris toutes les precautions necessaires pour que ces pro- 
grammes ne puissent pas avoir d'effet indesirable sur votre ordinateur, bien que 
ces precautions, comme toutes precautions, soient faillibles. Les appliquettes Java 
s'executent dans un bac a sable (sandbox) qui en principe les isole totalement du 
systeme de fichiers qui contient vos documents ainsi que du reste de la memoire 
de l'ordinateur. 

En general, pour infecter un systeme, un virus agit de la facon suivante : il se 
presente sous la forme de quelques lignes de code en langage machine binaire qui 
se greffent sur un programme utilise sur le systeme cible, afin d'en modifier le 
comportement. Le virus peut etre tout entier contenu dans ce greffon, ou il peut 
s'agir d'une simple amorce, dont le role va etre de telecharger un programme plus 
important qui sera le vrai virus. 

Une fois implante sur son programme-hote, le greffon possede aussi en general 
la capacite de se recopier sur d'autres programmes, ce qui accroit la virulence de 
l'infection et peut contaminer tout le systeme ; la disinfection n'en sera que plus 
laborieuse. 

On remarque que la metaphore par laquelle ce type de programme est nomme 
virus n'est pas trop fallacieuse, car les vrais virus, ceux de la biologie, precedent 
de facon assez analogue : sans trop schematise^ on peut dire qu'un virus est un 
fragment d'acide desoxy-ribo-nucleique (ADN) ou d'acide ribo-nucleique (ARN) 



Incidemment, contrairement a ce que donnent a croire leurs noms, Java et JavaScript sont des 
langages qui n'ont rien a voir l'un avec l'autre. 
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dans le cas d'un retrovirus, enveloppe dans une sorte de sachet qui lui permet 
de resister a l'environnement exterieur tant qu'il ne s'est pas introduit dans un 
organisme-hote. Une fois qu'il a penetre dans une cellule de l'hote, ce fragment 
d'ADN ou d'ARN, dont on sait qu'il represente une sorte de « programme ge- 
netique », utilise la machinerie cellulaire de l'hote pour se reproduire et envahir 
d'autres cellules, ce qui peut provoquer une maladie. 



POUR EN SAVOIR PLUS 

Pour ce parallele entre informatique et biologie on pourra se reporter a un article de 
David Evans. « What Biology Can (and Can't) Teach Us About Security ». USENIX Se- 
curity Symposium, 12 aout 2004. http://www.cs.virginia.edu/~evans/usenixQ4/ 
usenix.pdf. 



Le probleme que doit surmonter le virus informatique, comme son collegue biolo- 
gique, c'est d'echapper au systeme immunitaire de l'hote, qui cherche a le detruire, 
et comme en biologie les methodes les plus efficaces pour atteindre ce but reposent 
sur les mutations et le polymorphisme, c'est-a-dire que le virus modifie sa forme, 
son aspect ou son comportement afin de ne pas etre reconnu par son predateur. 
Pour les virus informatiques comme pour ceux de la biologie, la strategie de survie 
peut aussi comporter xmt periode d'incubation, au cours de laquelle le malade ignore 
son etat et peut contaminer son entourage, ainsi que des porteurs sains, propices 
egalement a la contagion. En effet, un virus qui tue trop rapidement sa victime, 
que ce soit au sens propre ou au sens figure, limite par la-meme ses capacites de 
propagation. 

Virus reticulaire (botnet) 

La cible d'un virus informatique peut etre indirecte : il y a des exemples de virus qui 
se propagent silencieusement sur des millions d'ordinateurs connected a l'lnternet, 
sans y commettre le moindre degat. Puis, a un signal donne, ou a une heure fixee, 
ces millions de programmes vont se connecter a un meme serveur Web, ce qui 
provoquera son effondrement. C'est ce qu'on appelle un deni de service distribue 
(Distributed Denial of Service, DDoS). 

Un tel virus s'appelle en argot SSI un hot, et l'ensemble de ces virus deployes un 
botnet. Les ordinateurs infectes par des bots sont nommes zombis. 
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De I'historique du terme zombi 

Le terme zombi utilise pour qualifier les ordinateurs qui ont ete infectes par un virus (re- 
ticulaire, cheval de Troie, ...) ne doit bien sur rien au hasard. Ces ordinateurs ressemblent 
effectivement a des morts-vivants : ces machines donnent I'impression de ne rien faire 
(il serait plus judicieux d'ecrire que leur utilisateur n'a pas conscience de I'infection par 
un programme malveillant) et pourtant elles participent a de mauvaises actions, comme 
par exemple I'envoi de courrier electronique non sollicite ou bien des attaques par deni 
de service distribue. 

De I'avis meme des fournisseurs d'acces a I'lnternet, ces postes de travail infectes re- 
presentent aujourd'hui la principale menace visible : une contribution meme modeste 
(quelques dizaines de messages par heure) de chaque ordinateur, vu le nombre de ma- 
chines infectees (des centaines de milliers rien qu'en France), suffit pour etre a I'origine 
de dizaines de millions de messages non sollicites chaque jour. 

Au grand dam des techniciens avertis qui sont leses dans I'affaire, I'une des mesures phare 
adoptees (ou en cours d'adoption) par de nombreux fournisseurs d'acces a I'lnternet 
grand public est de restreindre I'acces a I'lnternet. Ainsi face aux zombis qui envoient 
des courriers non sollicites, le filtrage du port 25 devient une norme de fait, obligeant 
les utilisateurs avertis a prendre le risque de confier leur courrier electronique a leur 
fournisseur (I'utilisateur moins averti le fait probablement deja et de facon naturelle). 

Nous donnerons une definition plus complete du port a I'encadre page 121, mais pour 
I'instant il nous suffit de savoir que chaque extremite d'un flux de donnees en circulation 
sur le reseau est identifiee par un numero arbitraire mais unique, son numero de port. 
Le port 25 est devolu au protocole SMTP utilise par le courrier electronique, et ainsi 
chaque emission de message electronique a pour destination le port 25 d'un serveur de 
messagerie. 

Existe-t-il encore des virus qui ne soient pas des chevaux de Troie ? 

La reponse a cette question est bien sur oui et il faut continuer a lutter. Les chiffres 
montrent cependant qu'en termes de volume les virus circulant du fait de zombis ou 
de « chevaux de Troie » representent bien plus de 95% du volume des messages avec 
virus circulant sur le reseau (chiffres obtenus d'un grand prestataire francais d'acces a 
I'lnternet, sur ses passerelles destinees au marche entreprise). 



Vcr 



Un ver (worm) est une variete de virus qui se propage par le reseau. II peut s'agir 
d'un hot (cf. ci-dessus). En fait, alors qu'il y a cinq ou six ans les virus n'etaient pas 
des vers (ils ne se propageaient pas par le reseau) et les vers n'etaient pas des virus 
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(ils ne se reproduisaient pas), aujourd'hui la confusion entre les deux categories est 
presque totale. 

Cheval de Troie 

Un cheval de Troie (Trojan horse) est un logiciel qui se presente sous un jour 
honnete, utile ou agreable, et qui une fois installe sur un ordinateur y effectue des 
actions cachees et pernicieuses. 

Porte derobee 

Une porte derobee (backdoor) est un logiciel de communication cache, installe par 
exemple par un virus ou par un cheval de Troie, qui donne a un agresseur exterieur 
acces a l'ordinateur victime, par le reseau. 

Bombe logique 

Une bombe logique est une fonction, cachee dans un programme en apparence 
honnete, utile ou agreable, qui se declenchera a retardement, lorsque sera atteinte 
une certaine date, ou lorsque surviendra un certain evenement. Cette fonction 
produira alors des actions indesirees, voire nuisibles. 

Logiciel espion 

Un logiciel espion, comme son nom l'indique, collecte a l'insu de l'utilisateur le- 
gitime des informations au sein du systeme ou il est installe, et les communique a 
un agent exterieur, par exemple au moyen d'une porte derobee. 

Une variete particulierement toxique de logiciel espion est le keylogger (espion 
dactylographique ?), qui enregistre fidelement tout ce que l'utilisateur tape sur son 
clavier et le transmet a son honorable correspondant ; il capte ainsi notamment 
identifiants, mots de passe et codes secrets. 
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Le rootkit de Sony 

Nous ne saurions entreprendre ce tour d'horizon de la malfaisance sans evoquer une 
affaire ou le scandale le dispute au ridicule. 

Un rootkit est un programme ou un ensemble de programmes qui permettent a un pirate 
de maintenir durablement un acces frauduleux a un systeme informatique, generalement 
par I'ouverture de portes derobees (cf. section 3 page precedente) et par des modifications 
vicieuses du systeme. 

Le 31 octobre 2005, le specialiste reconnu des systemes Windows Mark E. Russinovich 
publiait sous le titre Sony, Rootkits and Digital Rights Management Gone Too Far un 
article 2 dans la revue en ligne Sysinternals ou il racontait la mesaventure suivante. 

II testait sur son ordinateur le logiciel de detection d'intrusion RootkitRevealer (RKR), 
destine comme son nom I'indique a detecter la presence de rootkits. 

Que revela RKR a Russinovich? Un repertoire cache, plusieurs pilotes de peripheriques 
caches, et un programme cache. Russinovich, auteur notamment de I'ouvrage de refe- 
rence Windows Internals : Windows 2000, Windows XP & Windows Server 2003 [92], 
n'est pas precisement un utilisateur naif et il applique des regies de securite scrupu- 
leuses. Etonne de se voir ainsi pirate, il mobilisa toute sa science des structures internes 
de Windows et des outils d'analyse pour percer ce mystere (les details sont exposes dans 
I'article cite en reference) : quelle ne fut pas sa surprise en decouvrant que le rootkit in- 
crimine etait un logiciel commercial arborant fierement la marque de la societe qui I'avait 
developpe, First 4 Internet. Cette societe avait cree un ensemble de logiciels destines a 
implementer une technologie nommee XCP, dont la fonction est d'exercer des controles 
d'acces sur les CD musicaux enregistres commercialises selon les specifications du pro- 
tocole Digital Rights Management (DRM). First 4 Internet avait vendu sa technologie a 
plusieurs societes, dont Sony, et en constatant cela Russinovich se rappela avoir achete 
peu de temps auparavant un CD Sony qui ne pouvait etre joue qu'au moyen du logiciel 
inscrit sur le CD lui-meme, et qui ne pouvait etre recopie que trois fois. C'est ce que 
Ton appelle un CD au contenu protege contre les copies. 

En fait, lorsque le CD etait joue sur un ordinateur, le logiciel inscrit sur le CD se recopiait 
dans le systeme, a I'insu de I'utilisateur. Une fois installe, il se comportait comme un 
logiciel espion, et envoyait a Sony ('identification du CD introduit dans le lecteur de 
I'ordinateur ; avec cet envoi , Sony etait informe chaque fois qu'un CD donne etait 
joue sur tel ou tel ordinateur, et recevait egalement I'adresse IP de cet ordinateur. De 
surcrott, ce logiciel assez mal concu et realise creait dans le systeme des vulnerability 
supplementaires qui facilitaient des attaques ulterieures par d'autres logiciels malfaisants. 
Clairement, le Big Brother du roman de George Orwell commencait a prendre realite. 

Mais le plus piquant (ou le plus scandaleux) de cette histoire, c'est que pour realiser leur 
logiciel secret et malfaisant destine a espionner leurs clients et a proteger de facon abusive 
leurs droits, First 4 Internet et son mandant Sony avaient purement et simplement pirate 
des parties de certains logiciels libres sous licence GPL dans des conditions contraires 
aux termes de cette licence, c'est-a-dire qu'ils n'avaient pas hesite a enfreindre les droits 
d'autrui. 
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Les formes de malveillance 

Longtemps les actes de malveillance informatique tels que ceux que nous venons de 
decrire furent le plus souvent le fait de jeunes gens motives par la recherche de la 
renommee parmi leurs collegues pirates (les script kiddies). Les auteurs de logiciels 
malveillants sont souvent dotes de competences techniques elevees, necessaires pour 
detecter et exploiter des vulnerability souvent subtiles ; ils mettent ensuite leurs logiciels 
a la disposition de la communaute, et des pirates peu qualifies peuvent facilement les 
utiliser. II est done faux que tous les pirates soient des experts de haut niveau, la plupart 
sont des ignorants qui se contentent de lancer sur le reseau des logiciels nuisibles ecrits 
par d'autres. 

Cette malveillance « sportive » (et neanmoins criminelle) cede de plus en plus de terrain 
a une malveillance a but lucratif. Ainsi, les denis de service distribues tels que celui que 
nous avons decrit au debut de ce chapitre sont couramment utilises contre des sites 
marchands pour exercer contre eux un chantage et en obtenir une rancon. 

Michel Voile souligne dans son ouvrage De I' Informatique [115] que les pirates de I'in- 
formatique progressent plus vite que la recherche en securite, parce qu'ils utilisent les 
methodes du logiciel libre, alors que la recherche publique a du mal a recruter et que la 
recherche des entreprises s'enferme dans un secret qui souvent ne sert qu'a dissimuler 
une certaine indigence. La competence des pirates augmente, ainsi que le nombre et 
I'ingeniosite de leurs attaques, cependant que Ton ne compte aux Etats-Unis que 200 
chercheurs en securite dans les universites et les entreprises, nous dit Michel Voile. 

Si vous voulez aujourd'hui creer votre propre virus ou votre cheval de Troie, nul besoin 
d'etre un virtuose du debordement de tampon, ni meme de savoir programmer : vous 
trouverez sur le Web de magnifiques kits de developpement avec des environnements 
graphiques a la derniere mode qui vous faciliteront le travail, il vous suffira de cliquer 
sur les boutons de votre choix, et le logiciel malfaisant sur mesure sera genere automati- 
quement par I'outil. Vous disposerez egalement du systeme de lancement sur I'lnternet, 
et tout cela gratuitement. Dans ces conditions, ce qui est etonnant, e'est qu'il n'y ait 
pas plus de degats, ou du moins de degats patents. 
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Courrier electronique non sollicite (spam) 

Le courrier electronique non sollicite (spam) consiste en « communications elec- 
troniques massives, notamment de courrier electronique, sans sollicitation des 
destinataires, a des fins publicitaires ou malhonnetes », selon Wikipedia. Ce n'est 
pas a proprement parler du logiciel, mais les moyens de le combattre sont voisins 
de ceux qui permettent de lutter contre les virus et autres malfaisances, parce que 
dans tous les cas il s'agit finalement d' analyser un flux de donnees en provenance 
du reseau pour rejeter des elements indesirables. 

Les messages electroniques non sollicites contiennent generalement de la publi- 
city, le plus souvent pour de la pornographie, des produits pharmaceutiques des- 
tines a ameliorer les dimensions et les performances de certaines parties du corps 
humain, des produits financiers ou des precedes d'enrichissement rapide. Parfois 
il s'agit d'escroqueries pures et simples, qui invitent le lecteur a acceder a un site 
qui va lui extorquer son numero de carte bancaire sous un pretexte plus ou moins 
vraisemblable, cela s'appelle le phishing. Rappelons la definition de l'escroquerie 
par les articles L 313-1 a 313-3 du Code Penal : « Le fait, soit par l'usage d'un 
faux nom, soit par l'abus d'une qualite vraie, soit par l'emploi de manoeuvres frau- 
duleuses, de tromper une personne physique et de la convaincre a remettre des 
fonds, des valeurs ou un bien quelconque ou a fournir un service ou a consentir un 
acte operant obligation ou decharge ». 



Attaques sur le Web et sur les donnees 

Avec la multiplication et la diversification des usages du Web, notamment pour 
des sites marchands ou de facon plus generale pour des transactions financieres, 
sont apparues de nouveaux types d' attaques qui en exploitent les faiblesses de 
conception. D'autre part, des attaquants que Ton pourrait nommer les charognards 
informatiques exploitent dans les documents des zones que leurs auteurs croient 
avoir effacees, cependant que d' autres pillent les disques durs des materiels de 
rebut. 



Malveillance informatique 



Chapitre 3 

Injection SQL 

L'attaque par injection SQL vise les sites Web qui proposent des transactions mal 
constitutes dont les resultats sont emmagasines dans une base de donnees rela- 
tionnelle. Elle consiste en ceci : SQL est un langage qui permet d'interroger et 
de mettre a jour une base de donnees relationnelle ; les requetes sont soumises au 
moteur de la base en format texte, sans etre compilees. Une requete typique est 
construite a partir de champs de formulaire remplis par l'internaute. Si l'auteur du 
site a ete paresseux, il aura construit ses requetes en inserant directement les textes 
rediges par l'internaute, sans en controler la longueur ni le format ni le contenu. 
Ainsi, un utilisateur malveillant informe de cette faille (ou qui la soupconnerait) 
peut confectionner un texte tel qu'une fois incorpore a une requete SQL il ait des 
effets indesirables sur la base de donnees, par exemple en y inserant directement 
des ordres du langage, de telle sorte qu'ils soient interpreted. En voici un exemple ; 
l'instruction suivante construit directement a partir du nom introduit par l'utili- 
sateur une requete SQL innocente, qui extrait de la base des utilisateurs tous les 
enregistrements qui concernent celui-la en particulier : 

requete := "SELECT * FROM clients 

WHERE nom = '" + nora_client + "';" 

Soit un attaquant informe de cette faille, qui au lieu d'entrer dans le formulaire un 
nom valide, introduit la chaine de caracteres suivante : 

x; DROP TABLE clients; SELECT * FROM data WHERE nom LIKE Was "nom_client 

La requete sera : 

SELECT * FROM clients WHERE nom = 'x'; DROP TABLE clients; 
SELECT * FROM secrets WHERE nom LIKE '%'; 

avec, comme resultat, la destruction pure et simple de la table clients et un acces 
imprevu a la table secrets, dont le nom suggere quelle n'est pas destinee a etre 
lue par les internautes. 

La parade a ce type d'attaque consiste essentiellement a ecrire des programmes 
moins naifs, qui verifient les donnees introduites par les utilisateurs avant de les 
utiliser, et en particulier qui eliminent les caracteres qui ont une valeur seman- 
tique speciale pour SQL. Cette recommandation vaut d'ailleurs pour tous les pro- 
grammes. 
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Cross-site scripting 

Cette famille d'attaques, pour laquelle je n'ai pas trouve de traduction francaise 
generalement admise, est apparue avec le langage JavaScript, dont l'usage princi- 
pal est d'inserer dans une page en HTML sur le Web un programme qui viendra 
s'executer dans le navigateur de l'internaute. Sur une page vulnerable (elles sont 
legion), un pirate pourra installer un programme JavaScript furtif, qui pourra ac- 
complir des actions sur l'ordinateur de l'internaute a son insu. Ces actions risquent 
d'etre peu desirables, mais surtout elles peuvent rediriger discretement la navi- 
gation vers un site malveillant qui pourra injecter du code dans la page visitee. 
II convient de ne pas sous-estimer les risques induits par ce genre de faille, par 
exemple si la page detournee comporte des demandes d'authentification avec mot 
de passe ou des transactions financieres. 

Palimpsestes electroniques 

Au moyen-age le parchemin sur lequel etaient copies les manuscrits etait rare et 
cher : aussi on grattait les livres passes de mode pour en reutiliser le parchemin 
et y recopier les derniers succes de librairie. Les chercheurs modernes ont reussi a 
lire le texte gratte sur de tels manuscrits, appeles palimpsestes. 

Le XX e siecle a aussi ses palimpsestes : si Ton n'y prend garde, les fichiers produits 
par Microsoft Word conservent fidelement dans un coin la trace des modifications 
passees, et un lecteur habile peut les retrouver. Le Premier ministre britannique 
Tony Blair a ete victime de cet artifice : son cabinet a publie sur le site Web gou- 
vernemental un document Word d'explications relatif a l'engagement britannique 
dans la guerre en Irak, et des journalistes malicieux ont reproduit l'historique de 
l'argumentation, qui a fait scandale. 

Materiels de rebut 

Au debut de l'annee 2003 un petit article [1] a suscite un certain etonnement : un 
chercheur et un etudiant du MIT, a Cambridge dans le Massachusetts, Simson 
Garfinkel et Abhi Shelat, ont achete 158 disques durs d'occasion, souvent consi- 
dered comme des epaves, sur des sites d'encheres en ligne tels que eBay. lis ont en- 
trepris de les lire et d'en analyser le contenu ; 129 disques etaient en etat de marche 
et lisibles, sur seulement 12 les donnees avaient ete convenablement effacees ; sur 
28 disques aucune manoeuvre d'effacement n'avait ete entreprise. Lorsque des 
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operations d'effacement avaient ete effectuees, elles avaient souvent ete ineffi- 
caces : en effet la destruction d'un fichier, ou meme le formatage du disque, ne 
remet pas effectivement chaque bloc du disque a zero. Sur un des disques soi- 
disant formates, Garfinkel et Shelat ont trouve 5 000 numeros de cartes de credit. 
De grandes quantites de donnees personnelles financieres ou medicales, ainsi que 
de courrier prive et de pornographie, ont ete decouvertes. Que cela serve de le- 
con a quiconque met un ordinateur au rebut ! II est vivement conseille de detruire 
soigneusement tous les supports de donnees qui ont ete utilises pour des usages 
sensibles. 



Lutte contre les malveillances informatiques 

La proliferation des formes de malveillance informatique s'accomplit parallele- 
ment a la convergence de leurs methodes : neanmoins l'utilisateur n'est pas sans 
defense contre les attaques de plus en plus nombreuses et de plus en plus puis- 
santes, il existe des armes defensives. Nous examinerons ici la plus necessaire : 
le logiciel antivirus. Plus loin dans cet ouvrage nous etudierons le pare-feu et les 
systemes de detection et de prevention des intrusions. 

Ce que Ton peut dire de la lutte contre les virus s'applique aussi dans une large 
mesure a la lutte contre les autres malfaisances informatiques, car aujourd'hui les 
logiciels malfaisants sont tres polyvalents : la plupart des virus sont aussi des vers, 
qui ouvrent des portes derobees et pratiquent l'espionnage pour « ameliorer » leurs 
performances. lis peuvent aussi a l'occasion emettre du courrier non sollicite et se 
procurer des numeros de cartes bancaires. 

Antivirus 

Ces sections sont notamment inspirees par certaines informations et analyses 
contenues dans un article d'Eric Filiol [53]. Pour une etude approfondie il faudra 
aussi se reporter a son livre consacre aux virus [51]. 

II existe des logiciels dits antivirus, qui peuvent s'installer principalement en deux 

sortes d'endroits : 

• soit a l'entree d'un reseau local, la ou arrivent les flux en provenance de 
l'lnternet ; certains de ces flux seront filtres pour y detecter des virus, essen- 
tiellement les flux relatifs aux protocoles SMTP (courrier electronique) et 
HTTP (Web) ; 
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• soit sur le poste de travail de l'utilisateur, et la l'antivirus servira generale- 
ment a inspecter et desinfecter le disque dur (il convient de garder a l'es- 
prit que certains virus s'executent en memoire vive, sans s'enregistrer sur le 
disque). 

II y a essentiellement deux modes de fonctionnement des logiciels antivirus : 

• mode statique : le logiciel est active uniquement sur ordre de l'utilisateur, 
par exemple pour declencher une inspection du disque dur ; 

• mode dynamique : le logiciel est actif en permanence, et il scrute certains 
evenements qui surviennent dans le systeme, ce qui induit une consomma- 
tion non negligeable de ressources telles que temps de processeur et me- 
moire, mais permet une meilleure detection des attaques, notamment par 
analyse comportementale des logiciels suspects d'etre contamines. 



Ou mettre des antivirus ? 

Le lecteur I'aura remarque dans I'expose : certains systemes sont plus menaces par 
le risque viral que d'autres. Est-ce parce que ces systemes d'exploitation sont moins 
bien securises que les autres? L'auteur de ces lignes n'a pas la pretention de repondre 
a cette question. Ce qui est en revanche certain, c'est que la popularite d'un systeme 
d'exploitation ou d'un logiciel attire naturellement a lui les auteurs de codes malveillants : 
quel serait I'interet, pour la gloire de l'auteur anonyme, d'ecrire un virus qui exploiterait 
un defaut dans un logiciel qui n'est utilise qu'a dix exemplaires dans le monde? 

Tout utilisateur se doit done de mettre en ceuvre une protection contre les codes mal- 
veillants si son ordinateur est concerne par le risque... et il faudra en inclure le cout dans 
le budget global de fonctionnement de I'ordinateur. Les entreprises d'une certaine taille 
I'ont compris et integrent ce risque dans la gestion de leur pare micro-informatique. 

Ces dispositifs sont souvent completes par des solutions centralisees et independantes 
du poste de travail : les serveurs de messagerie, les mandataires permettant d'acceder au 
Web, ... disposent parfois eux aussi de solutions de recherche et d'elimination de virus, 
voire plus largement de codes malicieux ou supposes tels. 

Installer simultanement un logiciel antivirus sur le poste de travail et un controle central 
sur les passerelles, ce sont des precautions complementaires : chacune apporte sa brique 
pour reduire le risque (on ne parlera pas de I'eliminer, le risque zero n'existe pas). 

Les passerelles centralisees presentent I'avantage d'avoir un point central de controle 
des flux en provenance de I'exterieur, point central auquel I'entreprise peut mettre en 
ceuvre les moyens necessaires pour etre a jour et au fait des menaces les plus recentes 
et ainsi proteger son pare informatique. Ces passerelles n'apportent cependant pas de 
solution a certaines situations, par exemple : 

• l'utilisateur nomade (road warrior) qui pour les besoins de son travail doit acceder 
a I'lnternet sans pour autant etre en mesure d'ouvrir un acces distant de type 
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VPN avec son reseau d'entreprise (ou il beneficierait alors des solutions de securite 
centrales) ; 

• les contenus chiffres ne sont par definition pas analysables par les passerelles 
centrales (celles-ci pourraient etre configurees pour rejeter ce type de contenu, 
mais dans ce cas il faut bien avoir conscience des effets induits indesirables) ; 

• I'analyse de formats inconnus — un antivirus en position centrale saura-t-il re- 
connaTtre tous les formats de fichiers de la planete? Certainement pas!. 

C'est a ce stade que les solutions de poste de travail apportent un avantage : les so- 
lutions modernes vont bien au-dela de I'analyse des fichiers presents sur le disque dur 
de I'ordinateur. Ces solutions de securite vont intercepter, en temps reel, certains acces 
a des fichiers, des operations specifiques et faire leur travail de recherche d'un code 
malicieux : la passerelle centrale laissera ainsi peut-etre passer un virus dans un message 
chiffre S/MIME, I'antivirus de poste de travail le detectera probablement apres dechif- 
frement, et surtout lorsque I'utilisateur tentera d'enregistrer le message dechiffre sur son 
disque dur. 

La principale difficulte de I'antivirus de poste de travail reside en sa gestion, et no- 
tamment la mise a jour des moteurs de recherche de code malicieux et des bases de 
signature. Des systemes existent bien, mais en general les mises a jour sont moins fre- 
quentes qu'en central (imaginez I'impact de 100 000 ordinateurs d'une grande entreprise 
qui vont verifier toutes les cinq minutes s'il y a des mises a jour) et la periode de risque 
pour la prise en compte d'une menace recente est legerement plus longue qu'avec une 
solution en central. 

L'auteur de ces lignes tient a preciser qu 'il n'a aucun lien avec I'industrie fort lucrative 
des editeurs de solutions antivirales, et, comme tout utilisateur final, il est fort mecontent 
des tarifs pratiques, mais il n'a vraiment pas le choix : le risque est aujourd'hui bien trop 
grand. 



Les techniques de detection 

Eric Filiol distingue trois families de precedes de detection des virus : I'analyse de 
forme, le controle d'integrite et I'analyse dynamique de comportement. 

\J analyse de forme consiste a detecter la presence d'un virus dans un fichier par 
des caracteres statiques qui permettent de le reconnaitre. Eric Filiol distingue les 
elements suivants : 

• La recherche de signatures : on cherche un motif textuel, c'est-a-dire une 
suite de bits, caracteristique d'un virus connu. Cette methode ne permet 
pas de detecter un nouveau virus, ni un virus deja connu mais modifie. Elle 
impose l'installation et la mise a jour en permanence d'une base de donnees 
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des signatures. Qyelques heures de retard dans la mise a jour peuvent suffire 
a mettre en echec la protection. 

• L'analyse spectrale : certaines instructions sont rares dans les programmes 
ordinaires mais frequentes dans les virus, ainsi une analyse statistique de la 
frequence des instructions peut permettre la detection de virus, y compris 
parfois de virus inedits. Cette methode est sujette aux faux positifs, c'est-a- 
dire a la detection, a tort, d'un virus dans un fichier executable legitime. 

• L'analyse heuristique : il s'agit d'etablir et de mettre a jour un corpus de 
regies qui permettent de caracteriser les proprietes d'un fichier suspect. 
Cette methode, comme la precedente, est sujette aux faux positifs. 

Le controle d'inte'grite' consiste a detecter la modification anormale d'un fichier, qui 
peut signaler sa contamination par un virus. Pour mettre en ceuvre cette methode, 
il faut calculer pour chaque fichier sensible une empreinte numerique infalsifiable 
par une fonction de condensation (on dit aussi hachage, voir page 47). Constituer 
et mettre a jour une base de donnees de telles empreintes est difficile pratique- 
ment, et cette methode est de moins en moins utilisee. 

L'analyse dynamique de comportement consiste a scruter les actions d'un pro- 
gramme des qu'il s'execute et a detecter les activites suspectes : tentatives d'acces 
en ecriture a des fichiers de programmes executables, ou a des bibliotheques, ou a 
des zones du disque reservees au systeme. 

Aucune de ces methodes n'est infaillible, aussi convient-il d'avoir recours a une 
combinaison de methodes ; l'inconvenient est qu'un logiciel ainsi constitue devient 
encombrant, lent, et il ralentit le systeme, ce qui risque de dissuader l'utilisateur. II 
est neanmoins necessaire de deployer des antivirus sur le poste de travail et en en- 
tree de reseau, ce qui permettra d'eviter la plupart des infections. Ensuite, comme 
on sait que certaines infections franchiront les barrieres, il faut faire en sorte d'en 
limiter les consequences, notamment en fractionnant son reseau en segments iso- 
les les uns des autres pour reduire l'ampleur d'une eventuelle contamination. 

Des virus blindes pour dejouer la detection 

Le point commun entre les trois precedes de detection de virus dont nous avons 
emprunte ci-dessus la nomenclature a Eric Filiol, c'est que pour elaborer un anti- 
virus le virologue a pu se procurer un exemplaire du virus et en analyser le texte. 
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Le meme auteur signale dans un autre article [52] la possibilite, demontree ex- 
perimentalement, de creer des virus furtifs ou, pour reprendre sa terminologie, 
blindes, qu'il est pratiquement impossible d'isoler sous leur forme virulente. 

Le principe en est cryptologique : pendant le transport, le texte du virus est chiffre. 
Le succes de l'attaque repose sur l'impossibilite pour le defenseur de se procurer 
la cle de dechiffrement. Cela semble paradoxal, car pour attaquer il faudra bien 
que le virus soit dechiffre, et done que la cle de dechiffrement soit d'une facon ou 
d'une autre accessible depuis le site de la cible. 

De tels virus sont concevables pour des attaques ciblees : le code du virus comporte 
une procedure de dechiffrement qui reunit, avant de dechiffrer le texte du code 
virulent, des donnees d' activation, les unes presentes sur le site vise, les autres 
fournies a distance par l'attaquant ; la cle de dechiffrement est construite a partir de 
ces donnees d' activation, supposees impossibles a reproduire. Apres avoir commis 
l'attaque, le virus s'auto-desinfecte, ainsi qu'en cas d'echec d'une des etapes de son 
activite, ce qui rend pratiquement impossible a un analyste de s'en procurer un 
exemplaire. Eric Filiol a demontre que, meme en possession du texte du virus 
blinde experimental construit par des virologues, 1' analyse en demanderait 2 
operations, ce qui revient a la declarer impossible dans les conditions techniques 
de ce jour. 

Si les virus construits selon de tels principes n'ont jusqu'a present provoque que 
des degats limites, e'est a cause de leur realisation maladroite : algorithmes cryp- 
tographiques mal choisis et mal implemented, mauvaise gestion des cles. 



Quelques statistiques 

Nous emprunterons ici quelques donnees quantitatives au Rapport Sophos 2005 sur 
la gestion des menaces a la securite [104], qui emane d'un grand editeur d'antivirus, 
ainsi qu'aux etudes classiques du groupe IDC. 

Sur le champ de bataille de la malfaisance informatique, le vandalisme ludique 
cede de plus en plus de terrain a la criminalite organisee. Les attaques virales mas- 
sives, trop vite reperees, se voient remplacees par des infections de basse intensite, 
qui echappent a l'attention. 
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D'apres le rapport cite en reference, 1 message electronique sur 44 comporte une 
charge virale ; a la fin novembre 2005, periode marquee par l'epidemie due au ver 
Sober-Z, cette proportion a atteint 1 sur 12. 

En decembre 2005, la base de donnees de virus de Sophos recense 114 000 virus, 
vers, chevaux de Troie et autres logiciels malfaisants, dont 15 907 apparus en 
2005. 

En ce qui concerne les methodes de propagation des logiciels malfaisants, la 
connexion directe par le reseau represente 66,8%, les pieces jointes 15,1%, le chat 
(bavardage en direct par le reseau) 9,2%, le poste a poste (P2P) 4,5%, la navigation 
sur le Web 2,4%. 

L'immense majorite des attaques visent des postes de travail equipes du systeme 
Windows de Microsoft. Les attaques contre les telephones mobiles restent relati- 
vement peu nombreuses. 

Selon le site de l'editeur d' antivirus Sophos, un ordinateur equipe d'un systeme 
d'exploitation pour le grand public, connecte a l'lnternet et depourvu de protection 
(pare-feu, antivirus) est expose a un risque de contamination qui atteint 40% au 
bout de dix minutes, 95% au bout d'une heure. Les observations personnelles de 
l'auteur ne dementent pas cette estimation. 
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La cle de voute : 
le chiffrement 



Ici nous entrons au coeur du sujet : les principes du chiffrement sur lesquels re- 
posent toutes les techniques de securite informatique, et notamment les inven- 
tions revolutionnaires de l'echange public de cles et du chiffrement asymetrique. 
II est surprenant que les bases mathematiques de ces inventions des annees 1970 
aient ete connues des mathematiciens du XVIIP siecle comme Euler, et le lec- 
teur decouvrira qu'il peut les aborder avec la seule maitrise de 1' addition et de la 
multiplication. 

Nous ne saurions tracer ici une histoire complete des codes secrets, pour laquelle 
le lecteur pourra se reporter au livre de Simon Singh [103] par exemple. Tout ce qui 
est anterieur a 1970 a un interet essentiellement historique, d'ailleurs passionnant 
et riche d'enseignements, ainsi le role recemment mis en lumiere d'Alan Turing 
dans le deroulement de la Seconde Guerre mondiale, dont nous parlerons plus 
loin dans ce chapitre. 
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Avertissement 

Ce chapitre reprend, en le developpant, une part importante du contenu du chapitre 7 
de mon livre Les systemes d 'exploitation des ordinateurs - Histoire, fonctionnement, 
enjeux, publie aux Editions Vuibert, avec I'aimable autorisation de I'editeur. 

Le lecteur qui jugerait le contenu ce chapitre trap technique, notamment des pages 76 a 
85, pourra s'en dispenser en premiere lecture, il pourra comprendre le reste de I'ouvrage, 
c'est promis ! Qu'il sache neanmoins que ces passages mathematiques constituent la 
garantie de la veracite de I'ensemble de I'ouvrage. Nous encourageons le lecteur rigoureux 
a s'y plonger, tot ou tard. 



Chiffrement symetrique a cle secrete 

De l'epoque de Jules Cesar a la fin des annees 1970, un grand nombre de systemes 
de chiffrement ont ete inventes, qui consistaient a faire subir a un texte clair une 
transformation plus ou moins complexe pour en deduire un texte inintelligible, dit 
chiffre. La transformation repose sur deux elements : une fonction mathematique 
(au sens large) et une cle secrete. Seule une personne connaissant la fonction et 
possedant la cle peut effectuer la transformation inverse, qui transforme le texte 
chiffre en texte clair. C'est la meme cle qui sert au chiffrement et au dechiffrement, 
et pour cette raison elle doit rester secrete : nous decrirons plus loin des systemes 
de chiffrement tzsymetrique, qui utilisent des cles differentes pour le chiffrement et le 
dechiffrement, ce qui permet de rendre publique la cle de chiffrement, puisque'elle 
ne permet pas le dechiffrement. 

La science de l'invention des codes secrets s'appelle la cryptographic La science, 
adverse, du dechiffrement de ces codes est la cryptanalyse. Si le cryptanalyste 
ignore tout de la fonction de chiffrement et de la cle, il aura le plus grand mal 
a dechiffrer, mais un bon code doit resister a la decouverte de sa fonction de chif- 
frement tant que la cle reste secrete. 

Une bonne fonction de chiffrement doit eviter de preter le flanc a la cryptanalyse. 
Ainsi le code de Cesar, qui reposait sur une simple transposition circulaire des 
lettres de l'alphabet, est tres facile a decoder par 1' analyse des frequences des lettres 
des lors que Ton sait dans quelle langue a ete ecrit le message. Un bon code doit 
aussi chiffrer de facons differentes deux occurrences successives d'un meme texte 
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Figure 4.1 
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Le probleme : transmettre la cle ! 



dans le corps du message pour eviter que la detection d'une repetition ne fournisse 
des indices au cryptanalyste. La connaissance simultanee d'un texte clair et de sa 
version chiffree, comme dans le cas de Champollion et de la pierre de Rosette, est 
une aubaine pour le decodeur, comme l'occurrence de noms propres, etc. 

Naissance de la cryptographic informatique : Alan Turing 

L'invention de l'ordinateur a bien sur donne un essor considerable a la crypto- 
graphic et a la cryptanalyse. Ce n'est d'ailleurs pas un hasard si le createur du 
modele theorique de l'ordinateur, Alan Turing, a ete aussi pendant la guerre un 
formidable concepteur de machines a dechiffrer les codes allemands chiffres par 
les automates Enigma. Les machines de Turing, appelees Bombes, etaient fondees 
sur une realisation originale du logicien polonais Marian Rejewski. La courbe qui 
trace le succes des attaques de sous-marins allemands contre les convois transat- 
lantiques qui acheminaient les fournitures americaines a la Grande-Bretagne subit 
des fluctuations importantes qui correspondent au delai a Tissue duquel lequipe 
d'Alan Turing a Bletchley Park en Angleterre parvenait a dechiffrer plus ou moins 
parfaitement le code allemand apres un changement de combinaison des Enigma. 
Lorsque Ton sait l'importance militaire qu'ont eue ces fournitures, on ne saurait 
sous-estimer la contribution de Turing a la victoire alliee. 
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Data Encryption Standard (DES) 

Le premier systeme de chiffrement informatique normalise fut cree par un Alle- 
mand emigre aux Etats-Unis en 1934, Horst Feistel. Sa nationality et son metier 
de cryptographe lui valurent quelques difficultes avec la National Security Agency 
(NSA), desireuse avant tout de garder la maitrise des moyens de chiffrement et de 
pouvoir percer les codes utilises par des personnes privees. Finalement il mit ses 
competences au service d'IBM, pour qui il developpa au debut des annees 1970 le 
cryptosysteme Lucifer, base du futur Data Encryption Standard (DES). 

Le DES repose sur les principes suivants : le texte clair est code en numeration 
binaire et decoupe en blocs de 64 bits. Chaque bloc est decoupe en demi-blocs 
dont les bits subissent des permutations complexes, puis les demi-blocs sont addi- 
tionnes et soumis a d'autres transformations. L'operation est recommencee seize 
fois. La fonction de transformation comporte des variations en fonction de la cle, 
qui est un nombre arbitraire choisi par les utilisateurs du code. Le nombre de va- 
leurs possibles pour la cle determine le nombre de facons dont un message peut 
etre chiffre. L'emetteur du message secret le chiffre selon l'algorithme DES au 
moyen de la cle, le destinataire applique la fonction inverse avec la meme cle pour 
le dechiffrer. 

La NSA a obtenu que la normalisation du DES en 1976 comporte une limitation 
de la taille de la cle a 56 bits, ce qui correspond a 10 17 valeurs possibles. Aujour- 
d'hui cette valeur est notoirement trop faible, et Ton utilise le triple DES, avec une 
longueur de cle de 112 bits. 

La nouvelle norme AES (Advanced Encryption Standard) utilise des cles de 128, 
192 et 256 bits. La mise en concurrence pour AES a ete lancee le 2 Janvier 1997 
et le choix de la solution a eu lieu le 3 octobre 2000. C'est l'algorithme Rijn- 
dael developpe par Joan Daemen et Vincent Rijmen de l'universite catholique de 
Louvain qui a ete retenu. 

La posterite actuelle du DES procure un chiffrement qui peut etre considere 
comme robuste, a condition que soit resolu le probleme crucial de tous les sys- 
temes qui reposent sur une cle secrete utilisee aussi bien pour le chiffrement que 
pour le dechiffrement : les participants doivent s'echanger des cles de facon se- 
crete, ce qui n'est pas simple. 
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Diffie et Hellman resolvent l'echange de cles 

Si Alex veut entretenir une correspondance secrete avec Berenice, ils peuvent 
convenir de chiffrer leurs messages avec un protocole tel que le triple DES, que 
nous venons de presenter. Ce protocole presente toutes les garanties de robus- 
tesse, mais il faudra que Berenice et Alex conviennent d'une cle secrete : pour ce 
faire, ils devront se rencontrer, ce qui peut etre impossible, ou se communiquer la 
cle par la poste : dans les deux cas, l'instant de l'echange est celui dont un espion 
peut profiter pour derober leur secret et ainsi reduire a neant la surete de leurs 
communications. C'est le probleme de l'echange de cles. 

Le probleme de l'echange de cles 

Depuis des siecles le probleme de l'echange des cles etait considere comme un 
inconvenient naturel du chiffrement. Les ambassades et les etats-majors y consa- 
craient des efforts importants, que les espions s'efforcaient de dejouer. 

Avec 1'utilisation de l'ordinateur et des teletransmissions, et la dematerialisation 
de l'information qu'ils autorisent, le probleme se pose differemment. Dans les an- 
nees 1970 un chercheur independant et excentrique, Whitfield Diffie, reflechissait 
au moyen pour deux utilisateurs du reseau ARPANET d'echanger des courriers 
electroniques chiffres sans se rencontrer physiquement au prealable pour convenir 
de la cle de chiffrement qu'ils utiliseraient. En 1974 il donna une conference sur le 
sujet au centre de recherche Thomas J. Watson d'IBM a Yorktown Heights (deja 
le lieu de travail de Horst Feistel), et la il apprit que Martin Hellman, professeur 
a l'universite Stanford a Palo Alto, avait donne une conference sur le meme sujet. 
Aussitot il prit sa voiture et traversa le continent pour rencontrer Hellman. 



Un peu d'histoire 

En 1969 I'ARPA (Advanced Research Projects Agency), agence du ministere americain 
de la Defense pour la recherche, impulsa la creation du reseau ARPANET pour faciliter 
les echanges entre les differents laboratoires de recherche avec lesquels elle avait des 
contrats. ARPANET fut I'ancetre de I'lnternet. 



Diffie et Hellman cherchaient une methode pour convenir d'un secret partage 
sans le faire circuler entre les participants, en d'autres termes une fonction ma- 
thematique telle que les participants puissent echanger des informations dont eux 
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seuls pourraient deduire le secret. Les caracteristiques souhaitees d'une telle fonc- 
tion sont la relative facilite de calcul dans le sens direct, et la quasi-impossibilite 
de calculer la fonction reciproque. Ainsi, si s est le secret en clair, F la fonction 
de chiffrement, c le secret chiffre, D la fonction de dechiffrement, il faut que 
c = F(s) soit facile a calculer, mais s = D(c) pratiquement impossible a calculer 
pour tout autre que les participants — au prix de quel stratageme, c'est ce que 
nous allons voir. 

Fondements mathematiques de l'algorithme Diffie-Hellman 

La solution au probleme que se posaient Diffie et Hellman repose sur un chapitre 
de l'arithmetique tres utilise par les informaticiens, X arithmetique modulaire, soit 
l'arithmetique fondee sur les classes d'equivalence modulo n. 

Considerons l'ensemble des entiers relatifs Z muni de l'addition et de la multipli- 
cation. La division entiere de a par b que nous avons apprise a l'ecole primaire y 
est definie ainsi : 

a^rb — > a = b x q + r 
ou q est le quotient et r le reste de la division. Ainsi : 

13 ^-3^ 13 = 3x4 + 1 

Interessons-nous maintenant a tous les nombres qui, divises par un nombre donne 
n, par exemple 3, donnent le meme reste r. Nous avons deja trouve un nombre, 
13, pour lequel r = 1 ; donnons-en quelques autres : 



lH 


r3 - 


-► 3x0 + 1 


4H 


r3 - 


-> 3x1 + 1 


7-: 


r3 - 


-> 3x2 + 1 


10-: 


r3 - 


-> 3x3 + 1 


13-: 


r3 - 


-» 3x4 + 1 


16 H 


r3 - 


-> 3x5 + 1 



On dit que ces nombres constituent une classe d'equivalence, et qu'ils sont tous 
equivalents a 1 mod 3 (prononcer « un modulo trois »), ce qui s'ecrit : 
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4 = 1 mod 3 
7=1 mod 3 



On construit de la meme facon une classe des nombres equivalents a mod 3, 
qui contient —6,-3,0,3,6,9,12,..., et une classe des nombres equivalents a 

2 mod 3, avec -7, -4, -1, 2, 5, 8, 11, . . .. 

On peut definir une addition modulaire, par exemple ici 1' addition mod 3 : 

4 + 7 (mod 3) = (4 + 7) mod 3 
= 11 mod 3 
= 2 mod 3 

On demontre (exercice laisse au lecteur) que l'ensemble des classes d'equivalence 
modulo n muni de cette relation d'equivalence (reflexive, transitive) et de cette 
addition qui possede les bonnes proprietes (associative, commutative, existence 
d'un element neutre mod n et d'un symetrique pour chaque element) possede 
une structure de groupe appele groupe additif 7L n (prononce « Z modulo n »). 

On peut aussi faire des multiplications : 

4x7 (mod 3) = (4 x 7) mod 3 
= 28 mod 3 
= 1 mod 3 

Nous pouvons montrer la aussi que la multiplication modulo 3 possede toutes les 
bonnes proprietes qui font de notre ensemble de classes d'equivalence un groupe 
pour la multiplication, mais cela n'est vrai que parce que 3 est premier. En effet si 
nous essayons avec les classes d'equivalence modulo 12, nous aurons des diviseurs 
de zero, ce qui detruit la structure de groupe : 

4x7 (mod 12) = (4x7) mod 12 
= 28 mod 12 
= 4 mod 12 
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4x6 (mod 12) = (4x6) mod 12 
= 24 mod 12 
= mod 12 

Dans la seconde expression, le produit de 4 et 6 est nul, ce qui est tres regrettable. 
Aussi pourrons-nous bien definir un groupe multiplicatif Z*, qui si n est premier 
aura les memes elements que le groupe additif Z n a l'exclusion de 0, mais si n n'est 
pas premier il faudra en retrancher les classes correspondant aux diviseurs de n et 
a leurs multiples : 



7L% = {1,2} 

Z* 2 - {1,5,7,11} 

{1,2,4,7,8,11,13,14} 



J 15 



Dans ce groupe multiplicatif chaque element a un inverse (sinon ce ne serait pas 
un groupe) : 



5x5 mod 12 = 25 mod 12 

= 1 mod 12 

7x7 mod 12 = 49 mod 12 

= 1 mod 12 

11 x 11 mod 12 = 121 mod 12 

= 1 mod 12 

7 x 13 mod 15 = 91 mod 15 
= 1 mod 15 

On note que les calculs sont faciles mais les resultats assez imprevisibles : juste- 
ment, c'est le but que poursuivent nos deux cryptographes. La fonction y = ax 
n'est pas monotone. L'exponentielle est definie : 

5 3 mod 11 = 125 mod 11 
= 4 

et si n est premier elle a les memes proprietes que dans Z : 

(a x ) y = {a y ) x = a x - y 
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Mise en oeuvre de I'algorithme Diffie-Hellman 

Void maintenant le protocole d'echange de cles de Diffie-Hellman [40], illustre 
par un exemple avec de petits nombres pour pouvoir faire les calculs a la main. 
Martin Hellman en a eu l'inspiration une nuit, mais il est le resultat de leur travail 
commun, auquel d'ailleurs il faut adjoindre Ralph Merkle. Le protocole repose sur 
une fonction de la forme K = W mod P, avec P premier et W < P. Une telle 
fonction est tres facile a calculer, mais la connaissance de K ne permet pas d'en 
deduire facilement X. Cette fonction est publique, ainsi que les valeurs de W et 
P. Prenons W = 7 et P = 11, par exemple. 



POUR ALLER PLUS LOIN 

Le lecteur attentif remarquera que beaucoup d'auteurs utilisent cet exemple numerique. 
S'il se donne la peine de quelques essais personnels il constatera qu'il y a une bonne 
raison a cela : les autres valeurs numeriques suffisamment petites donnent des resultats 
corrects mais peu pedagogiques du fait de coincidences facheuses. 



1. Ai'cha choisit un nombre qui restera son secret, disons A = 3. 

2. Boris choisit un nombre qui restera son secret, disons B = 6. 

3. Ai'cha et Boris veulent echanger la cle secrete, qui est en fait S = 
W mod P, mais ils ne la connaissent pas encore, puisque chacun ne 
connait que A ou B, mais pas les deux. 

4. Ai'cha applique a A la fonction a sens unique, soit a le resultat : 

a = W A mod P 

= 7 3 mod 11 

= 343 mod 11 

= 2 

5. Boris applique a B la fonction a sens unique, soit (3 le resultat : 

(3 = W B modP 

= 7 6 mod 11 

= 117 649 mod 11 

= 4 



a http : //citeseer . ist . psu . edu/340126 . html 
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6. Ai'cha envoie a a Boris, et Boris lui envoie j3, comme represente par la 
figure 4.2. a et j3 ne sont pas la cle, ils peuvent etre connus de la terre 
entiere sans que le secret d' Ai'cha et de Boris soit divulgue. 



Figure 4.2 >. 

Echange de cles selon Diffie et Hellman Ai'cha ^ Boris 



P 



l\ 



observation 
Jean-Kevin 



7. Ai'cha a recu (3 et calcule (3 mod P (qui est, soit dit en passant, 
(W ) mod P, soit 7 mod 11, mais elle ne connait pas B) : 

I3 A mod P = 4 3 mod 11 
= 64 mod 11 
= 9 

8. Boris a recu a et calcule a mod P (qui est, soit dit en passant, 
(W ) mod P, soit 7 mod 11, mais il ne connait pas A) : 

a B mod P = 2 6 mod 11 
= 64 mod 11 
= 9 

Ai'cha et Boris obtiennent a la fin de leurs calculs respectifs le meme nombre 
9 qui n'a jamais ete expose a la vue des indiscrets : c'est la cle S I N'est-ce pas 
miraculeux ? Ils ont simplement echange l'information necessaire pour calculer la 
cle, sans divulguer celle-ci. 

Supposons que Jean-Kevin veuille epier les conversations dAicha avec Boris : il 
pourra intercepter l'echange des messages non chiffres a et (3, a partir desquels 
il veut calculer S = a mod P. II ignore S et B. L'equation a resoudre pour 
calculer B consiste a calculer la fonction reciproque de la fonction a sens unique : 

W B = (3 mod P 
Si nous etions dans le monde des nombres reels la solution serait triviale : 
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B log/3 



\ogW 



Mais, dans le monde des classes d'equivalence modulo n, ce probleme dit du lo- 
garithme dlscret n'a pas de solution simple, on ne connait pas d'algorithme rapide 
pour le calculer. C'est un sujet de recherche. Le « front » est aujourd'hui a des va- 
leurs de P qui sont des nombres de 450 chiffres binaires. L'algorithme est sur si 
P a 512 chiffres binaires. 

L'algorithme de Diffie-Hellman est sans doute une decouverte majeure, totale- 
ment contraire a l'intuition. II procure a deux acteurs d'un cryptosysteme le moyen 
d'echanger une cle sans la faire circuler sur le reseau. Mais il restait a faire une de- 
couverte encore plus stupefiante, inspiree d'ailleurs par celle que nous venons de 
decrire : un cryptosysteme fonde sur des paires de cles dont l'un des deux elements, 
la cle de chiffrement, est publiee dans des annuaires publics ! 



Le chiffrement asymetrique a cle publique 

La methode de Diffie et Hellman permet l'echange de cles, mais elle impose une 
concertation prealable entre les acteurs. Parfois ce n'est pas pratique : si Aicha veut 
envoyer a Boris un courrier electronique chiffre pendant qu'il est en vacances, elle 
sera obligee d'attendre son retour pour etablir la cle avec lui. 

Whitfield Diffie avait eu une autre idee, pour laquelle il n'avait pas trouve de solu- 
tion mathematique appropriee : un systeme ou Ton utiliserait une cle pour chiffrer 
et une autre pour dechiffrer. Ainsi, Boris proposerait a Aicha une cle de chiffre- 
ment, avec laquelle elle coderait le message, et Boris le decoderait avec une cle 
differente, la cle de dechiffrement. La cle de chiffrement ne permet que de chif- 
frer, meme Aicha serait incapable de dechiffrer son propre message avec cette cle, 
seul Boris le peut avec sa cle de dechiffrement. Comme la cle de chiffrement ne 
fonctionne que dans un sens, elle permet de creer des secrets mais pas d'en devoi- 
ler, et elle peut done etre publique, inscrite dans un annuaire ou sur un site Web. 
Qyiconque veut envoyer un message chiffre a Boris peut la prendre et l'utiliser. 

II faut seulement etre sur que personne ne pourra calculer la cle de dechiffrement 
a partir de la cle de chiffrement. Et la l'intuition mathematique est decisive. 
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Figure 4.3 
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Si l'idee du chiffrement asymetrique a cles publiques revient a Diffie et Hellman 
(sans oublier les precurseurs britanniques tenus au secret), la realisation de cette 
idee revient a Rivest, Shamir et Adleman, : ils ont trouve une solution mathema- 
tique permettant sa mise en oeuvre et nomme cette solution [91] de leurs initiates : 
RSA. 

Une personne desireuse de communiquer selon cette methode doit proceder ainsi : 

1. Prendre deux nombres premiers p et q. En cryptographic reelle on choi- 
sira de tres grands nombres, de 150 chiffres decimaux chacun. Nous allons 
donner un exemple avec p = 3etg= 11. 

2. Calculer n = pq, soit dans notre exemple n = 33. 

3. Calculer z = (p — l)(q — 1). (Ce nombre est la valeur de la fonction 4>(n), 
dite fonction phi d'Euler, et on notera quelle donne la taille du groupe 
multiplicatif modulo n, Z*). Dans notre exemple z = 20. 

4. Prendre un petit entier e, impair et premier avec z, soit e = 7. Dans la 
pratique, e sera toujours petit devant ra . 



e est dit premier avec z s'ils n'ont aucun diviseur commun autre que 1 et — 1, et on dira que e est 
petit devant n s'il est beaucoup plus petit que n. 
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5. Calculer l'inverse de e (mod z), c'est-a-dire d tel que e.d = 1 mod z. Les 
theoremes de l'arithmetique modulaire nous assurent que, dans notre cas, d 
existe et est unique. Dans notre exemple d = 3. 

6. La paire P = (e, n) est la cle publique. 

7. Le triplet S = (d, p, q) est la cle privee. 

Voyons ce que donne notre exemple. La cle publique de Boris est done (7, 33). 
Aicha veut lui envoyer un message M, disons le nombre 19. Elle se procure la cle 
publique de Boris sur son site Web et elle precede au chiffrement de son message 
M pour obtenir le chiffre C comme ceci : 

C = P{M) = M e mod n 

C = P(19) = 19 7 mod 33 = 13 

Pour obtenir le texte clair T, Boris decode avec sa cle secrete ainsi : 



T = S(C) = C d mod n 

T = 5(13) = 13 3 mod 33 = 19 

Miraculeux, non ? En fait e'est tres logique : 

S(C) = C d modn 

= (M e ) d mod n 

= M e,d mod n 

= M mod n 

Le dernier resultat, M e,d = M (mod n) decoule du fait que e et d sont inverses 
modulo n, il se demontre grace au petit theoreme de Fermat. 

A quel type d'attaque est expose RSA? Un espion (Jean-Kevin par exemple) 
pourra obtenir la cle publique de Boris P = (e,n), qui a servi a chiffrer M, 
ainsi que le message chiffre, C. Pour trouver M l'equation a resoudre est : 

C = M e mod n 
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n, C et e etant connus. Encore une fois, dans le monde des reels, la solution est tri- 
viale : M = \/C. Mais dans le monde modulaire la solution est M = \/C mod n, 
et il n'y a pas d'algorithme rapide connu pour la calculer, meme pour de petites 
valeurs de e. Ainsi, trouver la racine cubique modulo n d'un nombre y est un 
probleme qui n'est toujours pas resolu. 

En fait la seule attaque possible (outre la recherche de failles de realisation du 
logiciel) consisterait a trouver p et q par recherche des facteurs de n, ce que 
Ton appelle la factorisation du nombre n. La factorisation permettrait de calculer 
z = (f)(n) = (p — l)(q — 1). Le nombre secret d est tel que e.d = 1 mod z. d est 
un nombre du meme ordre de grandeur que z, soit un nombre de mille chiffres 
binaires. Ce calcul serait realisable, mais l'obstacle est que la factorisation n'est pas 
un probleme resolu, et qu'il est done impossible, dans le cas general, de calculer p, 
q et z. 

Les realisations industrielles ont longtemps utilise, et utilisent parfois encore 
e = 3. De nos jours e = 2 16 + 1 = 65 537 est populaire. Avec un tel choix, d 
est du meme ordre de grandeur que n, soit d ~ 2 . L'elevation a une puissance 
de cet ordre peut etre realisee efficacement par des algorithmes de type « eleva- 
tion au carre et multiplication » (square and multiply), qui prennent moins d'une 
seconde dans une carte a puce. 



POUR EN SAVOIR PLUS 

Le lecteur trouvera des explications mathematiques supplementaires dans I'ouvrage de 
Cormen, Leiserson et Rivest (le R de RSA) [35] ou dans celui de Menezes, van Oorschot 
et Vanstone [79], ou encore, de facon plus abordable, dans ceux de Gilles Dubertret [43] 
ou d'Albert Ducrocq et Andre Warusfel [44]. Au demeurant, il est stupefiant de constater 
que les decouvertes prodigieuses de Diffie, Hellman, Merkle, Rivest, Shamir et Adleman 
reposent sur des bases mathematiques deja entierement etablies par Leonhard Euler 
(1707-1783), sinon par Pierre de Fermat (1601-1665), et que, hormis Donald Knuth 
dans les annees 1960, personne n'y avait pense avant. Et si personne n'y avait pense, e'est 
qu'avant I'invention de I'informatique moderne les methodes cryptographiques dont nous 
venons de donner un bref expose etaient non seulement irrealisables, mais impensables. 
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Evaluer la robustesse d'un cryptosysteme 

Comme nous l'avons vu, les systemes de chiffrement symetriques et asymetriques 
reposent sur des methodes mathematiques completement differentes. Ces deux 
families de systemes sont d'un usage complementaire, ils sont utilises conjointe- 
ment dans les realisations techniques que nous employons quotidiennement. II 
convient d' avoir une conscience claire du fait que la confiance que Ton peut placer 
en eux, ou pas, ou en d'autres termes leur robustesse, repose sur des hypotheses de 
nature radicalement differentes dans les deux cas. 

Robustesse du chiffrement symetrique 

La robustesse d'un systeme de chiffrement symetrique repose sur l'impossibilite 
de deviner la cle utilisee : ce qui decoule d'une precaution et de trois qualites : 

• la precaution est que les utilisateurs doivent eviter de divulguer la cle et la 
stocker sur un support convenablement protege, cela semble evident mais 
souvent cette condition n'est pas verifiee ; 

• l'espace des cles doit etre vaste, pour parer aux attaques par force brute qui 
consistent a tenter le dechiffrement avec toutes les cles possibles successive- 
ment ; autrement dit, la cle doit comporter beaucoup de chiffres ; 

• l'algorithme doit etre lui-meme robuste, c'est-a-dire tel que l'examen du 
message chiffre ne doive pas reveler d'indices de nature a aider le dechif- 
frement, soit par la decouverte de la cle, soit par l'elucidation directe du 
message ; 

• enfin la realisation du logiciel doit etre correcte, et c'est generalement la 
que gisent les failles ; les algorithmes robustes sont complexes et subtils, 
une programmation maladroite peut reduire de facon spectaculaire la taille 
reelle de l'espace des cles ; or c'est de la taille de l'espace des cles que decoule 
l'entropie du cryptosysteme, qui est la mesure mathematique de sa quantite 
d'incertitude ou d'alea. 

Pour pouvoir decerner un certificat de robustesse a un systeme de chiffrement 
symetrique, on doit demontrer que l'attaque par force brute est l'attaque optimale. 
Ensuite, cela acquis, la guerre entre cryptographes et cryptanalystes se resume a 
une question de longueur de cle et de puissance de calcul. 

En pratique, les assaillants reels cherchent (et trouvent) des failles de realisation 
dans les systemes reels, cependant que les assaillants du monde de la recherche 
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constituent des grilles de calcul intercontinentales pour casser les algorithmes, ce 
qui est utile aux progres de la science, mais peu utilisable par des cyber-criminels. 

Robustesse du chiffrement asymetrique 

La robustesse des cryptosystemes a cles publiques repose sur deux piliers : 

• La confidentialite de la cle privee de celui qui l'utilise ; en effet la divulgation 
de cette cle privee reduit a neant la protection offerte par le systeme. 

• Les resultats de la theorie des nombres, ou plutot l'absence de tels resul- 
tats, qui nous dit que la factorisation de tres grands nombres est un pro- 
bleme difficile, ainsi d'ailleurs que le probleme du logarithme discret (ici, le 
terme difficile doit etre entendu comme insoluble en pratique). C'est-a-dire 
que tous ces systemes sont a la merci d'un progres inattendu de la theorie 
mathematique, qui viendrait par exemple offrir aux cryptanalystes un nouvel 
algorithme de factorisation rapide. 

Comme pour le chiffrement symetrique, les nombres choisis comme bases du 
systeme doivent etre suffisamment grands pour decourager les attaques par force 
brute, et la realisation des programmes doit etre correcte. 

Robustesse de I'utilisateur de cryptosysteme 

Ainsi les deux types de cryptosystemes obeissent a des criteres de robustesse assez 
differents, mais la confiance qu'il est possible de leur accorder repose aussi sur un 
facteur qu'ils ont en commun : la responsabilite de I'utilisateur. Nous avons deja 
evoque a la page 14 la these de Marcus J. Ranum au sujet de l'education des utili- 
sateurs, et nous y reviendrons a la page 224 : si la surete de votre systeme repose sur 
l'education des utilisateurs, alors il convient d'etre inquiet. Un autre cryptologue 
celebre, Bruce Schneier, a ecrit un article ou il soupese la confiance que Ton peut 
placer dans un autre type de systemes de securite dont nous parlerons plus loin 
(page 176), mais son analyse rejoint celle de Ranum sur ce point : les systemes de 
securite reposent sur des comportements humains dont il est imprudent de penser 
qu'ils seront adoptes toujours et en toutes circonstances : 



3 http : //www . schnei er . com/paper- pki . html 
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• Qui peut garantir que sa cle privee est inaccessible ? 

• Est-il possible pratiquement de verifier l'authenticite des certificats electro- 
niques de tous les sites que nous visitons ? 

• Et si nous nous avisions de le faire, les serveurs qui detiennent les listes de 
revocations de certificats et les reseaux qui leur donnent acces ne seraient-ils 
pas irremediablement satures ? 

• Nous pouvons etre surs de l'identite d'un porteur de certificat ou de cle 
publique que nous avons rencontre en personne et qui nous a montre une 
piece d'identite et le condensat de sa cle, mais faire confiance a un certificat 
parce qu'il est signe par une lointaine autorite de certification n'est pas si 
facile : le nom et le prenom d'une personne peuvent 1'identifier de facon 
sure au sein d'une petite population, mais ce n'est plus vrai a l'echelle d'un 
pays ou du monde. Et son identite a pu etre usurpee. C'est tout le probleme 
de l'attaque par interposition (Man in the middle). 

II n'est done guere raisonnable d'esperer que les utilisateurs soient en mesure de 
garantir que ces conditions seront reunies en tout lieu et a chaque instant. Nous 
envisagerons des moyens de progresser vers ce but, sinon de l'atteindre, au cha- 
pitre 7, page 175. 



Comment generer une paire de cles RSA 

Pour satisfaire une legitime curiosite, voici la commande a utiliser avec le logiciel libre 
OpenSSL pour generer un certificat electronique x509 et la cle privee associee, ainsi que 
le resultat de cette commande : 

# openssl req -x5®9 -newkey rsa:lQ24 -days 365 -keyout marti.pem -out marti.pem 

BEGIN RSA PRIVATE KEY 

Proc-Type: 4, ENCRYPTED 

DEK-Info: DES-EDE3-CBC.4AB14B73133CE78D 

wNvqLBqSwq7BsONOZfCrXyZYKQ80IAue2n/c2ISuIpLXXEnJ7Ku8 5LOY9uj/Dk9e 

Cg6rv3j73N8ZBJYA/86xrq/G3 7jn8U2wRtsQWtoFdSxldzDrhKoBv64hhaiYbGix 

c4BpsTmYt+91RPgi2KcMN2IwKcEBSSlIfklmls5g5v6KvrqpkTYLRlnkPKzps3B2 

uldjoXea4E83Lljxz:q+t6R6+E+fcBaHxEMTq4IBjSLnVp+XRaer2WKaJguXed6q 

Yt/MRLHr7Vt06J6IHC9qRyCr9K88ykYlCTpN5cleam+luYEErYYJUwCBvrU8F121 

lxBZ3z2HoocztxNWtdatZgABMIOSdluHa9ERg/Cr6KGHpbN02iiT28G3UmxfF86S 

vLXeRjqnNmAbbnK3aEyASlzYJylxU/ttyPdObled8nlA8CigZ3LiqKOwz82NgDIh 

bWpqQAyiBJHw2VDuBLP3Ks6v8v749IKXPeopVLTjSjuvMcNyPloaI2CjYrcJbt3p 

8Bt6JxuIlJqEliTtARSBvDVpKmWjRfVtYnU5SXpJwqYz78hsxleR/evT3M9sDkUl 

t7KAvOSu7Pe8sY19oD/rQ52XkpsEqhYv5o46gMhC3hJILnqxBi3aPnAuuaBs4Ugk 

8vbJ7sps6QBQ2vdHn/bJTq+SqAeXo8PssMRdsW/wAih3dEAxEH4QYiFJCCpG4/eX 

yD8itPrrozm3e/geBIfZck+aZLalyWvE6vlKKhn80ugHC+M8tGKzOg5EYT9Utk5R 

2sgYVnoE3mKmqYfKVSafa3F/WFTepCqaIC/JKmUz2bc2 8slqHdzlNA== 

END RSA PRIVATE KEY 
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Un tnodele de protection : Multics 



Dans le domaine de la protection, l'approche mise en ceuvre par le systeme Multics 
des les annees 1960 fait encore aujourd'hui figure de reference. Nous allons la 
decrire. 

Multics estne en 1964 auMIT {Massachusetts Institute of Technology) dans le cadre 
d'un projet de recherche nomme MAC, sous la direction de Fernando Corbato. 
L'objectif du projet etait la realisation d'un grand systeme informatique capable de 
fournir des services interactifs en temps partage a un millier d'utilisateurs simul- 
tanes. Multics comportait beaucoup d'innovations de grande portee : le langage 
de commande pour piloter le fonctionnement de la machine etait un langage de 
programmation, le meme que celui dont disposait l'utilisateur pour interagir avec 
le systeme, le shell invente a cette occasion. 
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Le systeme d' exploitation etait ecrit en langage evolue (en l'occurrence PL/1), voie 
ouverte par les systemes Burroughs ecrits en Algol, mais encore peu frequentee. 
Les concepts de memoire centrale pour les donnees volatiles et de fichiers pour les 
donnees persistantes etaient fondus en un concept unique de memoire virtuelle 
segmentee, certains segments etant dotes de la qualite de persistance. 

De meme que les auteurs de Multics avaient accompli une percee conceptuelle 
considerable et qui reste aujourd'hui a poursuivre en reunissant les structures de 
donnees en memoire et les fichiers persistants sur disque en un concept unique 
de segment, ils ont aussi imagine pour la protection une approche et des concepts 
originaux et puissants que les systemes d'aujourd'hui redecouvrent lentement. 



Abolir les fichiers ! 

L'unification conceptuelle des donnees en memoire vive et des donnees persistantes (fi- 
chiers) fut un progres parce qu'elle abolit une distinction arbitraire (memoire-fichier) 
dont les raisons techniques sont aujourd'hui en grande partie perimees grace aux sys- 
temes a memoire virtuelle et a la capacite accrue des memoires de toutes sortes. Elle 
reste a poursuivre parce que les systemes actuels reposent encore sur I'ancien modele de 
memoire et sur la notion inelegante de fichier. 



Si Multics n'a guere connu le succes, sa posterite est innombrable, parce qu'Unix 
(et par consequent Linux) en sont les descendants directs. A la fin des annees 
1960, l'echec de Multics aux Bell Labs etait patent. L'equipe qui allait y concevoir 
Unix, autour de Ken Thompson et Dennis Ritchie, comprit que Multics ne serait 
pas utilisable pour un travail reel dans un delai raisonnable. Le groupe de D. 
Ritchie, K. Thompson, M. D. Mcllroy et Joseph F. Ossanna souhaitait conserver 
l'environnement de travail luxueux que Multics leur procurait a un cout d'autant 
plus exorbitant qu'ils en etaient les derniers utilisateurs. Pour ce faire ils allaient 
developper leur propre systeme sur un petit ordinateur bon marche et un peu 
inutilise recupere dans un couloir, un PDP 7 de Digital Equipment. Unix etait 
sinon ne, du moins concu, mais il abandonnait certains des concepts novateurs 
de Multics, notamment l'unification memoire vive — memoire persistante et les 
dispositifs de protection, trop couteux en memoire et en temps de processeur pour 
les ordinateurs de l'epoque. 
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Les dispositifs de protection de Multics 

Nous decrirons les dispositifs et procedures mis en ceuvre dans Multics pour as- 
surer la protection des objets car, bien qu'anciens, ils restent a ce jour de l'an 2006 
une realisation de reference. Cette description doit beaucoup a celles de l'ouvrage 
collectif de CROCUS [37], Systemes d'exploitation des ordinateurs et du livre de Sil- 
berschatz et ses collegues [102] Principes appliques des systemes d'exploitation. 

La protection sous Multics repose sur une structure dite « en anneaux ». Chaque 
processus s'execute dans un anneau, chaque anneau correspond a un niveau de pri- 
vileges. Multics offre huit anneaux numerates de a 7, 1' anneau procure les pri- 
vileges les plus eleves, 1' anneau 7 les moins eleves. L' anneau du processus courant 
figure dans le mot d'etat de programme (PSW), zone de memoire qui contient 
des informations essentielles sur le traitement en cours, notamment l'adresse de la 
prochaine instruction a effectuer. 

Chaque segment (de memoire volatile ou persistante), pour chaque type d'acces 
(lecture, ecriture, execution si le segment contient un programme ou un reper- 
toire), appartient a un anneau. Si un processus s'execute dans un anneau de valeur 
inferieure ou egale a l'anneau d' execution d'un segment, par exemple, il peut exe- 
cuter le programme contenu dans ce segment, sinon non. Le schema 5.1 page 
suivante donne un exemple de ce mecanisme : il represente la protection d'un seg- 
ment accessible en lecture a des processus qui s'executent dans les anneaux a 3, 
mais dont la modification par une ecriture est reservee aux processus de l'anneau 0. 

A tout moment un processus peut changer d' anneau (sous le controle du systeme 
d'exploitation qui evidemment verifie que ce processus dispose des accreditations 
necessaires) et ainsi acquerir de facon temporaire ou definitive des privileges su- 
perieurs qui lui ouvriront l'acces a de nouveaux segments. 



Protection des systemes contemporains 

Finalement il apparait que les plus fideles disciples de l'equipe Multics furent les 
ingenieurs d'Intel. Depuis le modele 80286 jusqu'a l'actuel Itanium les proces- 
seurs de la ligne principale d'Intel disposent d'une gestion de memoire virtuelle a 
adressage segmente et d'un systeme de protection a quatre anneaux, typiquement 
destines respectivement au noyau du systeme pour l'anneau 0, aux fonctions auxi- 
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liaires du systeme pour les anneaux 1 et 2, et aux programmes en mode « utilisa- 
teur » pour l'anneau 3. Ces possibilites des processeurs Intel ne sont guere utilisees 
par les systemes d' exploitation, que ce soient ceux de Microsoft ou les Unix libres 
FreeBSD, OpenBSD, NetBSD ou Linux ; aucun ne tire parti de ce dispositif pour 
unifier les gestions de la memoire virtuelle et de la memoire persistante (le systeme 
de fichiers) : les premiers sont contraints a la compatibilite avec leurs ancetres... et 
les Unix aussi. 

Les systemes conventionnels comme Unix possedent un systeme d'anneaux de- 
grade a seulement deux anneaux (le mode superviseur et le mode utilisateur) et 
un systeme de listes d'acces degrade avec pour chaque fichier des droits d'acces 
en lecture, en ecriture et en execution pour trois ensembles d'utilisateurs : le pro- 
prietaire du fichier, les membres de son groupe, tous les autres utilisateurs. Linux 
utilise l'anneau comme mode noyau et l'anneau 3 comme mode utilisateur et 
c'est tout. Ces systemes plus rudimentaires ont (avaient ?) l'avantage d'etre moins 
lourds. 



Debordements de tampon 

Si vous consultez un site de publication de listes de vulnerabilites, par exemple 
celui de Security Focus , vous verrez apparaitre avec une frequence etonnante la 
phrase «A buffer overflow allows remote attackers to execute arbitrary code... » (« Un 



1 Cf. http : //www . securityfocus . org/ 
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debordement de tampon permet a un agresseur a distance d'executer un code ar- 
bitrage... »), c'est-a-dire que cet agresseur est en mesure de prendre le controle 
de l'ordinateur affecte et d'en faire n'importe quoi, ce qui represente la gravite 
maximale pour un incident de securite. 

De quoi s'agit-il ? D'une maladie frequente qui fait l'objet d'une entree dans Wiki- 
pedia et de nombreux articles detailles, celui-ci parmi beaucoup d'autres. Nous 
commencerons par en exposer un cas particulier tres significatif, qui a le merite de 
bien faire comprendre le principe du mecanisme, puis le cas general. 

Mais il convient d'abord de preciser ce que Ton entend par tampon (buffer) : ce 
terme designe en general une zone de memoire utilisee par le systeme d'exploita- 
tion pour stocker temporairement des donnees en provenance du (ou en partance 
vers le) monde exterieur. Plus generalement il s'agira ici d'une zone de memoire 
utilisee par un programme pour y manipuler un texte, au sens le plus general. 

Attaques par debordement sur la pile 

La revue Communications of the Association for Computer Machinery a recemment 
publie un article [71] qui decrit en detail un cas particulier d'attaque par deborde- 
ment de tampon, celui qui survient sur hi pile du programme. 

Le principe en est le suivant : un programme en cours d' execution note dans un 
coin (comme sur un post-it) l'adresse a laquelle revenir quand il aura fini son 
travail (la notion d'adresse est precisee plus bas). L'attaquant cherchera a modifier 
cette adresse de retour pour la remplacer par celle d'un programme malveillant 
installe par ses soins. 

Le « coin » ou cette adresse de retour est notee se situe dans une zone nommee 
pile d'execution du programme. Une pile est une structure de donnees, une facon 
d'organiser un ensemble de donnees, telle que la derniere donnee introduite sera 
la premiere a etre obtenue, on parle d' organisation LIFO, comme last in, first out, 
comme pour une pile d'assiettes, ou la premiere a prendre sera celle du dessus, 
qui a ete deposee la derniere. Pour extraire les donnees de la pile, on utilise un 
pointeur ; un pointeur est une donnee dont la valeur est un moyen d'acces a la 
valeur d'une autre donnee ; par exemple la valeur du pointeur peut etre le numero 

2 Cf. http : //f r . wikipedia . org/wiki/Buf f er_overf low 

3 Cf. http : //c2 . com/cgi/wiki?CeeLanguageAndBuf ferOverflows 
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de la case memoire ou se trouve la valeur de la donnee pointee par lui, autrement 
dit ce que Ton appelle habituellement son adresse. Le pointeur de pile (stack pointer) 
est une donnee qui contient 1' adresse du dernier element empile, ou en d'autres 
termes l'adresse du sommet de la pile. 

Un programme est generalement constitue de plusieurs sous-programmes ; a 
chaque sous-programme correspondent des donnees locales : les valeurs des pa- 
rametres transmis lors de l'appel du sous-programme, des variables locales dont 
la duree de vie est limitee a la periode d'activite de ce sous-programme, et sur- 
tout l'adresse de retour vers le programme appelant, c'est-a-dire l'adresse de l'ins- 
truction qui devra etre executee a la fin du sous-programme. L'ensemble de ces 
donnees locales constitue le bloc d'activation (activation record) de cet appel au 
sous-programme, aussi appele cadre de pile (stack frame). 

La pile d'execution d'un programme est une pile de blocs d'activation. Lors d'un 
appel a un sous-programme, le bloc d'activation (ou cadre de pile) correspon- 
dant est cree et stocke sur la pile du programme. Lorsque le sous-programme se 
termine, ce cadre de pile est detruit et le pointeur de pile pointe vers le cadre 
precedent, qui est celui du programme appelant. 

On observe qu'une telle organisation en pile autorise que soient presents en me- 
moire a un instant donne les blocs d'activation de plusieurs appels emboites au 
meme sous-programme, ce qui est indispensable pour les programmes recursifs, 
qui s'appellent eux-memes; ainsi chaque instance du sous-programme possede 
son propre bloc d'activation, avec ses variables locales et ses arguments, sans in- 
terference avec les autres instances. La figure 5.2 represente la pile d'un processus 
Unix ; on notera quelle croit a l'envers, son sommet est vers le bas (vers les adresses 
de plus faibles valeurs) ; le tas est une autre region de la memoire du programme, 
ou sont allouees les zones necessaires a des donnees de plus grande taille, tels les 
tableaux. 

Un debordement de tampon sur la pile consistera a alterer de facon fautive mais 
soigneusement calculee, dans un programme legitime, une variable locale de type 
chaine de caracteres, de facon que l'adresse de retour soit ecrasee par l'adresse du 
code malicieux place la par le pirate ; ainsi ce sera ce code qui s'executera a la fin 
de l'execution du sous-programme. 



Les auteurs de langue francaise traduisent souvent activation record ^par enregistrement d'activation, 
qui me semble moins approprie que bloc d'activation. 
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ALTERNATIVE Faire croTtre la pile vers le haut ? 

Christian Queinnec me fait observer la chose suivante : cette possibility d'ecraser I'adresse 
de retour d'un programme par un debordement de tampon resulte uniquement du choix 
des concepteurs d'Unix (imites par de nombreux suiveurs) de faire croTtre la pile vers 
le bas ; si les blocs d'activation s'empilaient dans I'autre sens, les debordements de 
tampons ecraseraient sans doute des choses, mais pas I'adresse de retour. II y a bien 
sur des raisons a ce choix de conception : faire croTtre la pile et le tas en sens inverse 
simplifie I'utilisation de la memoire, proceder autrement poserait d'autres problemes, 
mais devant I'abondance des failles qui reposent sur ce dispositif, on devrait au moins 
se poser la question. 
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L' article des CACM cite quelques attaques reussies par debordement de tampon 
sur la pile, et enumere plusieurs remedes de nature a les prevenir : 

1. les developpeurs du projet OpenBSD passent en revue le code de l'ensemble 
de leur systeme pour y reperer les sequences destructions affectees par une 
telle vulnerabilite, et ajouter des controles de nature a verifier la longueur des 
chaines de caracteres concernees ; ils ont cree, pour les aider dans ce travail 
de benedictin, des logiciels qui automatisent une partie des operations ; 

2. il existe des logiciels ou des bibliotheques de sous-programmes qui instru- 
mentent le compilateur de facon qu'il insere automatiquement des controles 
adequats dans le programme compile : 

• StackGuard place dans la pile un marqueur special, et detecte grace a 
lui toute alteration anormale de l'adresse de retour, 

• StackShield modifie le comportement du compilateur gcc de facon a 
ce qu'il insere dans le programme compile des sequences destruc- 
tions destinees a maintenir une copie de secours de la pile des adresses 
de retour, et a detecter ainsi toute alteration anormale de la pile du 
processus, 

• RAD est une modification du compilateur gcc qui insere au debut et 
a la fin des appels de fonctions des instructions qui recopient la pile 
des adresses de retour, un peu comme StackShield ; 

3. il existe egalement un projet baptise SmashGuard qui se propose d'implan- 
ter les operations destinees a proteger la pile contre les debordements de 
tampons dans le materiel, par la modification des instructions d'appel et de 
retour de fonction, ce qui eviterait d'une part de modifier ou de recompi- 
ler d'innombrables logiciels, d'autre part de deteriorer les performances des 
systemes en voulant les rendre plus surs. 



CULTURE gcc 

gcc est le compilateur de base du projet GNU. Un compilateur est un programme qui 
traduit le texte d'un programme vers un langage de plus bas niveau, souvent le langage 
machine de I'ordinateur sur lequel on souhaite que le programme s'execute. Initialement 
concu pour le langage C, gcc sert desormais a traduire d'autres langages, tels que C++, 
Ada ou Java. C'est un logiciel libre. 
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Debordement de tampon : expose du cas general 

Pour citer Wikipedia, « le principe [du debordement de tampon] est de profiter 
de l'acces a certaines variables du programme, souvent par le biais de fonctions 
telles scanf () (analyse de chaine de caracteres) ou strcpyO (copie de chaine 
de caracteres) en langage C, qui ne controlent pas la taille de la chaine a enre- 
gistrer dans un tampon, afin d'ecraser la memoire du processeur jusqu'a l'adresse 
de retour de la fonction en cours d' execution. On peut ainsi choisir quelles se- 
ront les prochaines instructions executees par le processeur. Le code introduit est 
generalement execute avec les droits du programme detourne. » 

Comme nous l'expliquent Cunningham & Cunningham [38], les langages C et 
C++ representent les chaines de caracteres au moyen de tampons de caracteres ( 
char * ), qui ne sont que des zones de memoire a partir d'une adresse de de- 
but, depourvues de taille propre. La fin de la zone est simplement indiquee par 
le caractere ASCII 0, que le programme peut ecraser a sa guise pour allonger la 
taille attribute a la chaine considered. L'utilisateur malveillant d'un programme 
ecrit en C peut fournir, en reponse a une question du programme, une chaine de 
caracteres plus longue que ce que le programmeur a prevu, et ainsi ecrire subrep- 
ticement dans des zones memoires reservees a d'autres usages, ce qui va alterer 
le comportement du programme. Par exemple, il sera possible ainsi d'inserer, a 
des emplacements bien choisis, du code executable, et de le faire executer par le 
programme : c'est X exploitation d'un debordement de tampon. 

Que le programme soit vulnerable a ce genre d'exploitation n'est bien sur pas une 
fatalite : il est possible d'ecrire des programmes qui verifient que la longueur de 
la chaine de caracteres saisie par l'utilisateur n'excede pas la taille prevue pour le 
tampon, mais c'est tres laborieux, et l'experience montre que, sauf a utiliser des 
methodes systematiques, le programmeur en oublie toujours quelque part. Parmi 
les methodes systematiques on peut citer l'usage de bibliotheques de fonctions 
de traitement de chaines de caracteres ecrites conformes aux bonnes regies de 
securite ; de telles bibliotheques existent mais leur usage n'est pas tres repandu 
parce qu'elles sont assez etrangeres a la tradition de la programmation en C. 

Debordement de tampon et langage C 

II est a noter que le probleme du debordement de tampon est propre aux lan- 
gages C et C++ : ainsi, il est a peu pres impossible d'en declencher un en Java, 
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en Scheme, en Perl ou en Python, parce que ces langages sont plus restrictifs et 
ne comportent pas de pointeurs qui contiennent des adresses de zones arbitraires 
en memoire, modifiables par le programmeur. Meme a supposer que le traducteur 
du langage ou la machine virtuelle chargee de l'executer soient eux-memes affectes 
d'erreurs, leur exploitation malveillante serait tres difficile. 

Cette possibilite qu'offre le langage C d'utiliser des adresses explicites qui de- 
signent des emplacements arbitraires en memoire a ses raisons d'etre : C a ete 
concu a l'origine pour ecrire un systeme d' exploitation (Unix en l'occurrence), et 
un auteur de systeme d'exploitation a besoin d'acceder a des zones de memoire 
situees a des emplacements physiques arbitraires, ne serait-ce que... pour gerer la 
memoire elle-meme. Cette possibilite n'est d'aucune utilite reelle pour un serveur 
Web ou pour un logiciel d'affichage de documents, et elle devient au contraire une 
nuisance. Le malheur est que la popularity de C, accrue par des qualites extra- 
langagieres telles que la disponibilite sans supplement de cout sur tout systeme 
Unix et la relative legerete du compilateur, ont contribue a sa propagation aupres 
de communautes de developpeurs d'applications, pour lesquels il n'etait sans doute 
pas le mieux adapte. 



Securite par analyse du code 

Les lignes qui suivent concernent sans doute plus les auteurs de logiciels que les 
administrateurs de reseaux. Mais quel administrateur n'est pas a ses heures de- 
veloppeur ? Ne serait-ce que de logiciels d' administration, souvent ecrits en Perl, 
langage dont il sera question ci-dessous. 

Analyses statiques et methodes formelles 

\J analyse statique de programme (static code analysis) designe un ensemble de tech- 
niques destinees a determiner certaines proprietes d'un programme sans declen- 
cher son execution, par opposition aux methodes de test. L'enonce meme de ce 
projet montre qu'il peut avoir des applications dans le domaine de la securite. 

Une premiere famille de methodes qui se rattachent a cette categorie comporte 
des methodes formelles : 
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• la semantique denotationnelle se propose de creer le modele semantique d'un 
systeme informatique en construisant des objets mathematiques qui ex- 
priment sa semantique, ou en d'autres termes ce qu'il fait ; 

• la semantique axiomatique vise le meme but en s'appuyant sur des forma- 
lismes empruntes a la logique ; 

• la semantique operationnelle utilise aux memes fins les diagrammes d'etat et 
Interpretation symbolique. 

Entrer dans le detail de ces methodes nous entrainerait au-dela du champ de cet 
ouvrage, on pourra se reporter aux references indiquees par Wikipedia . 

Methode B 

Devant la difficulte de mise en ceuvre des methodes formelles evoquees a la sec- 
tion precedente, Jean-Raymond Abrial a choisi d'aborder ce probleme par une 
autre face : prouver la justesse et la surete du programme avant de l'ecrire, et pour 
cela il a cree la methode B [7], [15] au milieu des annees 1980. Elle a ete utilisee dans 
le cadre du projet de metro sans conducteur METEOR (Metro est-ouest rapide) 
realise par Matra (maintenant Siemens Transportation System) pour le compte de la 
Regie autonome des transports parisiens (RATP), pour construire de facon sure 
les parties du logiciel qui jouent un role critique pour la securite des passagers. La 
partie du logiciel du metro METEOR realisee grace a 1' Atelier B (l'outil infor- 
matique sous-jacent a la methode [31] developpe par la societe ClearSy) comprend 
pres de 100 000 lignes de code Ada generees automatiquement. Notons qu'aupa- 
ravant B Abrial avait cree le langage de specification Z : peut-etre un clin d'ceil de 
cinephile aux amateurs des films de serie B ou Z ? 

Les premieres demarches de preuve de programme tentaient d'appliquer des pro- 
cedures de preuve a des programmes deja construits. II s'est assez vite revele qu'un 
programme final etait un objet beaucoup trop complexe pour etre soumis d'un 
seul coup a une procedure de preuve, manuelle ou a plus forte raison automatique. 
L'idee de B est done d'elaborer la preuve en meme temps que le programme. Le 
langage de developpement B permet de specifier d'une part le programme propre- 
ment dit, d' autre part les proprietes dont on souhaite le voir dote. 



■i, i >„ . // en . wikipedia . org/wiki/Denotational_semantics 
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On aura compris que B est un systeme de developpement complet, qui comporte 
son propre langage de programmation, ce qui confirme en fait l'idee qu'une me- 
thode de specification est soit un langage de programmation, soit inutile, et que de 
toute facon la creation d'un systeme informatique demande une vraie competence 
en programmation. II semble clair que les exigences de B en termes de delais et 
de qualification technique du personnel sont relativement elevees par rapport a du 
developpement classique de logiciel non critique. Le tout est de ne pas se tromper 
dans la determination de ce qui est critique et de ce qui ne Test pas. 

Lors du developpement des 100 000 lignes de code Ada critique pour le logiciel du 
metro METEOR, 1' atelier B a produit 30 000 obligations de preuve, dont plus de 
90% ont ete realisees automatiquement. Les quelque 2 500 preuves qui ont resiste 
aux procedures automatiques ont necessite plusieurs mois de travail humain, mais 
l'industriel a estime que le bilan etait largement positif grace a l'economie engen- 
dree par la suppression des tests de bas niveau. Apres quelques annees d'exploita- 
tion sans incident notable, la conclusion s'impose que la methode B est efficace et 
sure pour les developpements critiques. 

Pour etre complet il faut egalement signaler les limites de la methode B : 

• les capacites de preuve sur des formules comportant des operations arith- 
metiques sont limitees ; 

• le developpement formel de systemes contenant des calculs numeriques 
n'est actuellement pas possible avec la methode B et les outils associes ; 
de tels calculs restent sous-specifies et les preuves de correction ne peuvent 
etre donnees ; 

• absence de verification de proprietes temporelles due a la logique supportee 
(par l'atelier B) ; 

• on ne peut pas decrire avec B les phenomenes concurrents, les fenetres de 
temps et plus generalement le temps reel (codage des evenements par des 
variables) ; les logiques temporelles sont plus adaptees pour specifier le com- 
portement dynamique. 

Perl en mode souille 

Le langage Perl [5] propose une methode de securite statique plus prosai'que mais 
plus facile a mettre en ceuvre : le mode souille (taint mode), qui declenche des me- 
sures de securite particulieres. Le mode souille est active automatiquement dans 
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certaines situations, par exemple lorsque les droits d'acces du programme et de 
l'utilisateur effectif sont discordants, il peut aussi etre active explicitement, ce qui 
est fortement conseille pour les programmes serveurs. 

En mode souille, Perl active des controles de pollution (taint checks) : certains sont 
classiques, tels que l'interdiction d'ecrire dans les repertoires du chemin de re- 
cherche des programmes executables. 

En mode souille, Perl affecte d'une marque speciale toutes les donnees qu'un pro- 
gramme recoit de l'exterieur, tels les champs de formulaires remplis directement 
par un internaute et qui pourraient comporter des injections de code (cf. la sec- 
tion 3 page 61) ; de meme sont marques souilles les arguments de ligne de com- 
mande, les variables d'environnement, et toutes les donnees lues depuis un fichier. 
Les variables souillees sont soumises a des restrictions d'usage : elles ne peuvent 
pas etre utilisees pour modifier une donnee exterieure au programme, sauf si elles 
ont ete dument verifiees et explicitement « blanchies ». Les meilleures methodes 
de blanchissage de donnees reposent sur la technique du filtrage ; il s'agit ici du 
filtrage dans l'acception qui designe une technique de programmation nommee 
en anglais pattern matching, a ne pas confondre avec le filtrage sur les reseaux, bien 
que celui-ci puisse recourir a celle-la. Bref, le filtrage evoque ici consiste a ten- 
ter de detecter, dans le contenu de la variable souillee, des caracteres ou « mots » 
potentiellement dangereux. 



Separation des privileges dans le systeme 

Nous avons deja evoque la problematique de la separation des privileges a la sec- 
tion 2 page 40, notamment du point de vue de la gestion des comptes des utilisa- 
teurs. Nous allons preciser ici quelques aspects un peu plus techniques. 

II est important que chaque utilisateur, a chaque instant, possede les privileges qui 
lui sont indispensables pour accomplir son travail, et seulement ceux-la. S'il doit 
pour une operation particuliere elever son niveau de privileges, cette elevation doit 
etre temporaire, et son effet doit etre limite a 1' operation en question. Cela est bien 
sur encore plus imperatif lorsqu'il s'agit des privileges du super-utilisateur, root 
sous Unix ou Administrateur sous Windows, par exemple. Mais ces precau- 
tions deja signalees ne suffisent pas. 
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La plupart des systemes d' exploitation modernes administrent egalement la sepa- 
ration des privileges au sein meme de l'espace memoire affecte a chaque utilisateur 
ou, pour etre plus precis, a chaque processus en cours d' execution sur le systeme. 
Cet espace de memoire (aussi denomme espace adresse) est divise en regions, 
chacune caracterisee par son contenu. 

Par exemple, sous un systeme Unix tel que Linux, la zone de memoire allouee 
a un programme en cours d'execution est divisee en sections : le texte du code 
executable proprement dit est dans la section . text, les donnees initialisees sont 
dans la section . data, les donnees non initialisees dans la section . bss, sans pre- 
judice des zones allouees au tas (heap) et a la pile (stack). Chacune de ces sections, 
ainsi que le tas et la pile, sans oublier les zones affectees respectivement au code 
et aux donnees de chaque bibliotheque utilisee par le programme, seront installes 
dans des regions de memoire particulieres et bien identifiees, dotees de privileges 
adequats. Ainsi, seul le texte des regions affectees au code executable sera habilite 
a etre execute, c'est-a-dire qu'une instruction de branchement ne sera valide que 
si son adresse de destination est contenue dans une telle region, sinon elle declen- 
chera une erreur et l'interruption du programme. De cette facon, il sera impossible 
d'executer du code place dans une section de donnees ou sur la pile. De meme, 
ne pourront etre modifiees par programme que les donnees contenues dans les re- 
gions destinees a cet effet. De telles mesures de protection de la memoire sont de 
nature a contrecarrer toute une famille de logiciels malfaisants, concus a l'origine 
pour exploiter des debordements de tampon dans la pile (cf. section 5). 

En effet, sur un systeme qui n'est pas dote de ce type de protection, il est possible 
d'injecter du code malfaisant dans une zone de memoire disponible en ecriture, 
puis de l'executer. 



Architectures tripartites 

La locution architecture tripartite traduit ici 1' anglais three tiers, qui n'a jamais signi- 
fie trois-tiers (ni quatre-quarts), et qui pourrait aussi se traduire par architecture 
a trois niveaux (c'est le choix de Wikipedia) ou a trois etages. II s'agit d'un mo- 
dele de construction de systemes informatiques propre a en ameliorer la securite, 
et nous n'hesiterons done pas a recommander son usage. II peut bien sur y avoir 
plus de trois etages, et Ton parlera alors d'architecture multipartite, mais trois est 
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la cardinality la plus frequente. II s'agit d'une extension du modele client-serveur, 
fameux en son temps et aujourd'hui supplante par les architectures construites a 
partir de serveur et de navigateurs Web. 

L'idee de tripartition d'une application informatique consiste a separer trois 
groupes de fonctions et a les implanter sur des systemes informatiques differents, 
places sur des reseaux distincts regis par des regies de securite specifiques et adap- 
ters a chacune de ces fonctions, qui sont : 

1. l'interface utilisateur, nominee ici le niveau presentation, qui, de plus en plus 
souvent, sera affichee par un navigateur Web ; 

2. les logiciels de traitement, qui constituent le niveau logique, eventuelle- 
ment invoques par l'intermediaire d'un serveur Web ou d'un mandataire 
applicatif; 

3. le stockage des bases de donnees, qui constitue le niveau donnees. 

Outre les avantages habituels de la modularity des applications, qui permettent 
notamment de faire evoluer les logiciels des postes de travail sans impact sur le 
systeme de bases de donnees, cette architecture ameliore la securite globale du 
systeme : les bases de donnees, qui sont generalement la partie la plus sensible 
de l'ensemble, seront placees dans un sous-reseau hautement protege, isole de 
tout acces direct des utilisateurs ; les logiciels de traitement seront implantes sur 
des ordinateurs depourvus de donnees, ce qui reduira les consequences de leur 
eventuelle compromission. 

Entre le navigateur de l'utilisateur et la couche traitement, on interposera souvent 
un mandataire applicatif, nomme en anglais reverse proxy, c'est-a-dire un serveur 
Web specialise qui analyse les requetes emises par les utilisateurs, rejette les re- 
queues non autorisees ou malformees et reecrit les requetes convenables pour les 
transmettre au logiciel d' application. Un tel systeme reduit de facon drastique le 
risque d'attaque reussie contre le serveur, a condition, certes, que les logiciels aient 
ete ecrits en respectant la regie du privilege minimum necessaire, que les barrieres 
soient bien baissees la ou il le faut... et au prix d'un budget supplementaire non 
negligeable. L' architecture tripartite devient ainsi quadripartite (cf. page 123). 
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La securite de l'informatique ne se limite certes pas a celle du reseau, mais il est 
indeniable que la plupart des incidents de securite surviennent par le reseau, et 
visent le reseau. Aussi le present chapitre, qui lui est consacre, est-il le plus copieux 
du livre. Apres un rappel des principes de l'lnternet, nous traiterons des reseaux 
prives virtuels (VPN), du partage de fichiers a distance, des pare-feu, du Systeme 
de noms de domaines (DNS), des reseaux locaux virtuels (VLAN) et des reseaux 
sans fil (Wi-Fi). 

Les protocoles poste a poste (peer to peer) et de telephonie sur Internet seront 
abordes au chapitre 10, la detection d'intrusion au chapitre 11, les annuaires au 
chapitre 7. 
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Modele en couches pour les reseaux 

Avant de parler de securite des reseaux, il peut etre utile de rappeler brievement 
le modele qui sert a les decrire. Le lecteur familier de ces notions peut sans risque 
passer a la section suivante. 

L'architecture en couches a ete formulee par le chercheur neerlandais Edsger 
Wybe Dijkstra (1930-2002) dans un article fameux publie en mai 1968 par les 
CACM, « The structure of the THE multiprogramming system » [41], pour represen- 
ter des systemes qui relevent simultanement de plusieurs niveaux d'abstraction. 
L'idee est d'isoler chaque niveau d'abstraction pertinent pour le systeme consi- 
dere, de facon a s'en faire une idee plus simple. Le principe de l'architecture en 
couches peut etre rapproche de celui il architecture tripartite que nous avons etudie 
a la page 102 ; le but en est le meme : diviser un probleme en sous-problemes plus 
simples, isoler differents niveaux d'abstraction. 

Application du modele a un systeme de communication 

Ainsi, imaginons le systeme de communication constitue par deux chefs d'Etat, 
accompagnes de leurs interpretes respectifs, en train de mener une negociation bi- 
laterale. Chaque chef d'Etat s'exprime dans salangue nationale, que nous appelle- 
rons respectivement langue A et langue B ; chaque interprete traduit ce que dit son 
chef d'Etat en picto-saintongeais, langue diplomatique internationale. Nous pou- 
vons modeliser ce systeme de communication au moyen de trois couches, illustrees 
par la figure 6.1 : 

• la couche 3 « negociation » decrit les interactions entre les deux chefs d'Etat ; 

• la couche 2 « traduction » decrit les interactions entre les interpretes ; 

• la couche 1 « phonologique » decrit les mecanismes physiologiques et phy- 
siques en jeu dans la communication verbale entre deux etres humains. 

Chacune de ces couches a sa logique propre, qu'il est possible d'etudier sans se 
preoccuper des deux autres, bien que la couche 3 ne puisse pas exister sans les 
couches 2 et 1, ni la couche 2 sans la couche 1. 

Lors de leur negociation, les deux chefs d'Etat respectent un protocole, que nous 
nommerons protocole de la couche 3 : il comporte les regies du savoir-vivre des 
grands de ce monde, ainsi peut-etre que les traites conclus entre les pays dont ils 
sont les dirigeants. 
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Figure 6.1 

Un systeme de communication 
a trois couches 



t 



Couche negotiation 



Couche traduction 



Couche phonologlque 



De leur cote, les interpretes respectent un protocole de couche 2, qui comporte 
surement aussi des regies de savoir-vivre (sans doute un peu moins ceremonieuses 
que celles de la couche 3), mais surtout le respect des regies de la grammaire 
du picto-saintongeais et de la semantique de son lexique, necessaires a la bonne 
comprehension entre les negociateurs. 

La couche 1 pourrait etre decrite en termes de larynx, de cordes vocales, de pro- 
pagation d'ondes sonores dans 1' atmosphere. 

Notons qu'apres avoir prononce une phrase, disons en langue A, le chef d'Etat 
considere doit attendre que son interprete l'ait traduite en picto-saintongeais, puis 
que l'interprete de l'autre partie l'ait traduite de picto-saintongeais dans la langue 
B de l'autre chef d'Etat, et vice-versa, sans oublier les delais de propagation des 
sons qui constituent les paroles dans 1' atmosphere (dans le vide, ou sur la lune, ce 
dispositif echouerait, il faudrait en imaginer un autre). 

Alors que les echanges entre deux interlocuteurs d'une couche donnee sont regis 
par un protocole, les echanges entre un chef d'Etat et son interprete sont regis par 
une interface, ainsi, de facon generate, que les echanges entre un agent de la couche 
n et un agent de la couche n — 1, du meme cote de la communication. Pour que la 
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negociation se deroule de facon satisfaisante, il ne faut pas qu'il y ait d'interactions 
directes entre un agent de la couche n d'une partie et un agent de la couche n — 1 
de l'autre partie : si le chef d'Etat de langue nationale A s'adresse directement a 
l'interprete du chef d'Etat de langue nationale B dans une langue C, differente du 
picto-saintongeais, langue internationale, on risque l'incident diplomatique. 

Mais, quoi qu'il en soit des couches 1 et 2, les diplomates qui redigeront le com- 
munique final et les journalistes qui commenteront l'entrevue ne prendront en 
consideration que les echanges de la couche 3, llsferont abstraction des echanges 
des couches basses, pourtant indispensables. Et tel etait bien le but poursuivi. 

Modele ISO des reseaux informatiques 

Les reseaux informatiques ont fait l'objet d'une modelisation par l'ISO selon un 
modele en sept couches nomme OSI (pour Open Systems Interconnection), qui n'a 
pas eu beaucoup de succes en termes de realisations effectives, mais qui s'est im- 
pose par sa clarte intellectuelle comme le meilleur outil de conceptualisation des 
reseaux. La figure 6.2 represente les quatre couches basses du modele ISO; les 
couches 5 a 7 sont moins interessantes et peu evoquees par la litterature ; men- 
tionnons neanmoins la couche 7, « Application », qui correspond aux logiciels uti- 
lises directement par les utilisateurs, tels que navigateur Web, logiciel de courrier 
electronique ou de connexion a distance. 

La couche 1 concerne la mise en ceuvre du support physique de la communication, 
il s'agit d'electronique et de traitement du signal. 

L'objet de la couche 2 (dite liaison de donnees) est d'acheminer de facon sure des 
donnees entre deux stations directement connectees au meme support physique. 
L'ensemble de donnees elementaire vehicule par la couche 2 s'appelle une trame. 

La couche 3 (dite reseau) envisage deux stations connectees a des reseaux dif- 
ferents, eux-memes relies a d'autres reseaux qui forment un Internet. II faut, a 
travers un reseau de reseaux interconnectes, un peu comme les reseaux ferroviaires 
europeens entre eux, trouver un itineraire pour acheminer les donnees : c'est la 
question du routage. L'ensemble de donnees elementaire vehicule par la couche 3 
s'appelle un paquet. 

La couche 4 (transport) vise a assurer entre deux stations distantes l'acheminement 
sur des donnees de bout en bout par un itineraire calcule par la couche 3, soit a 
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Figure 6.2 
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du modele ISO 
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interface -*■ 
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etablir entre ces deux stations distantes le meme type de communication qui serait 
assure par la couche 2 si elles partageaient le meme support physique, comme si 
le reseau complexe qui les separe etait un support unique. L'ensemble de donnees 
elementaire vehicule par la couche 4 s'appelle un segment. 

Cette abstraction en couches permet de concevoir un reseau comme l'lnternet, 
fonde sur les couches 3 et 4, independant des couches basses (1 et 2), et dispo- 
nible pour toutes sortes d' applications non prevues. II en a ete ainsi parce que 
les createurs de l'lnternet, qui utilisaient pour construire le reseau une infrastruc- 
ture telephonique dont les operateurs ne leur revelaient pas les caracteristiques 
internes, ont fait de necessite vertu : 1' architecture qu'ils ont imaginee peut fonc- 
tionner « au-dessus » de n'importe quelle infrastructure de communication. C'est 
ce qui a assure le succes de l'lnternet, et lui a permis, au fil des annees, de s'adapter 
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aux nouveaux supports : fibre optique, liaisons satellite, liaisons sans fil, infrarouge, 
sans que ses protocoles en soient affect.es. 



POUR ALLER PLUS LOIN 

On consultera avec profit a ce sujet la contribution de Jean-Francois Abramatic. « Crois- 
sance et evolution de I'lnternet ». Dans Universite de tous les savoirs - Les Technologies, 
volume 7, Paris, 2002. Odile Jacob. Cf. aussi le livre classique de Katie Hafner et Mat- 
thew Lyon. Where Wizards Stay Up Late - The Origins of the Internet. Pocket Books, 
Londres, 1996. 



Une realisation : TCP/IP 

L'Internet est construit autour de son protocole de reseau, IP (Internet Protocol), 
et de son principal protocole de transport, TCP (Transmission Control Protocol). 
Le protocole IP correspond a la couche 3 du modele OSI, la couche reseau. La 
« pile » TCP/IP (comme une pile de couches... empilees) n'obeit pas strictement 
a la nomenclature du modele OSI : elle comporte une couche liaison de donnees 
qui englobe les couches 1 et 2 de l'OSI, la couche IP (reseau) correspond a la 
couche 3 de l'OSI, la couche TCP 1 (transport) correspond a la couche 4 de l'OSI. 
La couche « applications » englobe tout ce qui releve des couches hautes de l'OSI. 

L' architecture de TCP/IP peut etre vue sous Tangle suivant. A partir d'un message 
emis par un utilisateur, chaque couche en partant de la plus haute lui ajoute des 
en-tete qui contiennent les informations necessaires a son fonctionnement, ce que 
montre la figure 6.3 page suivante. 

Ainsi, un message electronique sera d'abord dote par votre logiciel de courrier des 
en-tete applicatifs, en l'occurrence tels que decrits par la RFC 822 revise en 2822 
(ce sont les lignes From :, To :, Subject :, etc. qui figurent en tete des messages). 
Votre logiciel de courrier mettra egalement, si besoin est, le contenu de message 
en forme, toujours afin d'adherer a ce standard quest le RFC 2822. Un message 
complexe, par exemple melangeant texte et image, pourra etre formate selon le 
standard MIME. 



. UDP, autre couche transport disponible au-dessus d'IP. 
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Figure 6.3 
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VOCABULAIRE Les RFC 

Les Requests for Comments (RFC) sont les documents de reference pour le fonctionne- 
ment du reseau. Citons ici le nom de Jon Postel, editeur des RFC depuis la premiere, 
en 1969, jusqu'a sa mort en 1998, et auteur ou coauteur de 204 d'entre elles, ce qui 
lui a confere une influence considerable sur la physionomie du reseau. Toutes les RFC 
sont accessibles par I'URL (Universal Resource Locator) http://www.ietf.org/rfc/ 
ou sur de nombreux sites miroirs. Nous ne saurions trap en conseiller la lecture; meme 
si la qualite de leur style est inegale, elles fournissent sur I'lnternet une information de 
premiere main, souvent exposee tres clairement, et dont la citation dans les dTners en 
ville vous assurera une reputation de gourou du reseau. 



Apres ces transformation, ce message, devenu conforme a la RFC 2822, doit etre 
transports afin de parvenir jusqu'a son destinataire legitime. Pour cela, votre sys- 
teme de courrier electronique s'appuie un autre standard, le protocole SMTP de- 
fini dans la RFC 2821 (qui met a jour la RFC 821). Le protocole SMTP decrit 
les echanges qui vont se derouler entre les parties (le systeme de messagerie de 
l'expediteur et celui du destinataire). 
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C'est cet ensemble structure qui represente les « donnees utilisateur » du protocole 
SMTP et qui sera decoupe en segments TCP, chacun dote de l'en-tete convenable 
decrit a la figure 6.4. 



Figure 6.4 

En-tete de segment TCP 



32 bits 



Port d'origine 
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Options 



Donnees 



O UAPRSF : chomps do 6 bits de controle : 
URG ACK PSH RST SYN FIN 



Chaque segment TCP sera empaquete dans un ou plusieurs paquets IP, qui pos- 
sedent chacun un en-tete, decrit a la figure 6.5 page suivante pour la version 4 du 
protocole IP, et a la figure 6.6 page ci-contre pour la version 6. Et chaque paquet 
sera expedie sur la couche liaison de donnees qui correspond au support physique, 
Ethernet par exemple. 

Le protocole reseau IP fournit a la couche transport un service non fiable non 
connecte de datagrammes. Le terme datagramme signifie que le flux de bits re- 
mis par la couche transport (TCP) est decoupe en morceaux (les datagrammes) 
achemines independamment les uns des autres. En general les datagrammes sont 
transmis en entier sur le reseau, mais le protocole prevoit que tous les segments du 
reseau n'admettent pas forcement la meme taille de donnees a transmettre, auquel 
cas il peut arriver qu'un datagramme soit decoupe en plusieurs paquets, mais la 
plupart du temps un datagramme correspond a un paquet, les deux termes sont 
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Figure 6.5 

En-tete de paquet IPv4 



Figure 6.6 

En-tete de paquet IPv6 



quasiment synonymes. Notons cependant que cette possibility de fragmenter les 
datagrammes est parfois utilisee par les pirates pour dissimuler leurs attaques. 

Par « non liable » nous entendons que la couche IP ne fournit aucune garantie 
de remise des datagrammes ni aucun controle d'erreur, et par « non connecte » 
nous entendons que la couche IP ne maintient aucune information d'etat sur une 
transmission de donnees en cours, et notamment qu'elle ne garantit pas la remise 
des datagrammes dans l'ordre dans lequel ils ont ete emis. 

Ces caracteristiques sont de nature a inquieter les neophytes, et semblent cu- 
rieuses, d'autant plus que la couche de liaison de donnees fournit a la couche 
reseau, pour chaque segment physique d'un chemin de donnees utilise par un da- 
tagramme, un service fiable de flux de bits remis dans le bon ordre. 
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En fait, la couche IP ne fournit pas de controle d'erreur parce que de toute facon 
la couche TCP devra en effectuer, ainsi que la verification du bon ordre de remise 
des datagrammes au terminus de la transmission, et que de tels controles au niveau 
de la couche 3 seraient redondants. Son ascetisme et sa desinvolture conferent a 
la couche IP la simplicite, la legerete et la souplesse qui font son efficacite. 



Les reseaux prives virtuels (VPN) 

Au chapitre 4 page 71 nous avons decrit l'usage de techniques cryptographiques 
pour le chiffrement de messages individuels, mais ce n'est en aucun cas le seul 
usage de cette technique. On peut imaginer, et de plus en plus c'est ce qui sera 
realise, le chiffrement systematique de toutes les communications en reseau. 

Si Ton procede ainsi, chiffrer message par message serait tres inefficace : on choi- 
sira plutot de chiffrer le flux de l'ensemble du trafic sur un ou plusieurs itineraires 
donnes, cela constituera un reseau prive virtue/, ou VPN, comme Virtual Private 
Network. II s'agira par exemple d'etablir un canal chiffre entre deux nceuds quel- 
conques de l'lnternet, ces nceuds pouvant eux-memes etre des routeurs d'entree 
de reseaux. On aura ainsi etabli une sorte de tunnel qui, a travers l'lnternet, re- 
liera deux parties eloignees l'une de 1' autre du reseau d'une meme entreprise pour 
donner l'illusion de leur contiguite. Mais le chiffrement permet aussi d'etablir un 
VPN personnel pour un utilisateur, par exemple entre son ordinateur portable et 
le reseau local de l'entreprise. 

Principes du reseau prive virtuel 

Le chiffrement est generalement utilise pour les VPN de la facon suivante : l'algo- 
rithme de Diffie-Helmann est utilise pour proceder au choix d'un secret partage, 
qui constituera une cle de session pour chiffrer le trafic, et qui sera renouvele a 
intervalles reguliers. 

II y a en revanche une assez grande variete de solutions pour introduire le VPN 
dans l'architecture du reseau : 

• Couche 3 : introduire le VPN au niveau de la couche reseau (n° 3 du modele 
ISO) semble la solution la plus logique : il s'agit bien de creer un reseau vir- 
tuel, apres tout. C'est la solution retenue par la pile de protocoles designes 
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collectivement par l'acronyme IPSec, que nous decrirons a la section sui- 
vante. Les protocoles IPSec sont implantes dans le noyau du systeme d' ex- 
ploitation, ce qui assure une plus grande surete de fonctionnement (face aux 
attaques notamment) et de meilleures performances (un protocole implante 
en espace utilisateur passe son temps a recopier des tampons de memoire 
entre l'espace noyau et l'espace utilisateur). 

Couche 4 : La disponibilite de bibliotheques SSL/TLS (pour Secure So- 
cket Layer/Transport Layer Security) a la mise en ceuvre facile a encourage 
le developpement de VPN de couche 4 (transport), comme OpenVPN ou 
les tunnels SSL . OpenVPN, par exemple, etablit un tunnel entre deux sta- 
tions, et par ce tunnel de transport il etablit un lien reseau, chaque extremite 
recevant une adresse IP. 

Couche 7 : Le logiciel SSH (Secure Shell), qui comme son nom l'indique 
est un client de connexion a distance chiffree, done de couche 7, permet de 
creer un tunnel reseau. 

Couche 2 : Mentionnons ici pour memoire les reseaux locaux virtuels 
(VLAN), que nous etudierons plus en detail a la page 156 : il ne s'agit pas a 
proprement parler de VPN, mais souvent ils ont un meme usage : regrouper 
les stations d'un groupe de personnes qui travaillent dans la meme equipe 
sur un reseau qui leur soit reserve, separe des reseaux des autres equipes. 
L2TP (Layer Two Tunneling Protocol), comme son nom l'indique, encapsule 
une liaison de couche 2 (liaison de donnees) sur un lien reseau (couche 3). 



IPSec 



IPSec designe un ensemble de RFC destinees a incorporer les techniques de chif- 
frement (et d'autres, relatives aussi a la securite) au protocole IP lui-meme, plutot 
que d'avoir recours a des solutions externes. IPv6 a ete concu pour comporter 
d'emblee toutes les specifications IPSec. 

IPSec comporte essentiellement deux protocoles : 

• le protocole AH (Authentification Header) assure l'authenticite et l'integrite 
des donnees acheminees ; e'est un protocole reseau, de couche 3 done, que 
Ton peut voir comme une option d'lP ; 



Cf. http://openvpn.net/ 
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• le protocole de transport ESP (couche 4) (Encapsulating Security Payload) 
assure la confidentialite et l'integrite des donnees, leur authenticite etant 
assuree de facon optionnelle. 

Avec l'un ou l'autre de ces protocoles, IPSec peut fonctionner en mode transport 
ou en mode tunnel : 

• en mode tunnel chaque paquet IP est encapsule dans un paquet IPSec lui- 
meme precede d'un nouvel en-tete IP ; 

• en mode transport un en-tete IPSec est intercale entre l'en-tete IP d'origine 
et les donnees du paquet IP. 

La figure 6.7 illustre ces differentes possibilites. 



Figure 6.7 
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Paquet IPSec, protocole AH, mode transport : 



En-tete IP En-tete AH 



Donnees IP 



Paquet IPSec, protocole AH, mode tunnel ; 
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Paquet IPSec, protocole ESP, mode transport 



En-tete IP En-tete ESP Donnees IP chiffrees Trailer ESP 



Paquet IPSec, protocole ESP, mode tunnel : 



Nouvel en-tete En-tete ESP En-tete IP chiffre Donnees IP chiffrees Trailer ESP 



Les protocoles AH et ESP sont completes par le protocole d'echange de cles IKE 
(Internet Key Exchange) , deflni dans la RFC 2409, et par le protocole de gestion de 
cles ISAKMP (Internet Security Association and Key Management Protocol), defini 
dans la RFC 2408. II semble bien qu'ISAKMP soit un protocole irremediable- 
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ment mal concu, qu'il n'y a plus qua reecrire — le travail est en cours mais risque 
d'etre comparable au tissage du voile de Penelope. 

On l'aura compris, IPSec est une usine a gaz, son implementation complete est 
de ce fait difficile. Pour voir son deploiement a grande echelle il faudra sans doute 
attendre la generalisation d'IPv6. Cela etant dit, pour le deploiement de VPN sur 
une infrastructure (par opposition aux VPN a usage personnel), c'est la solution 
qu'il faut retenir. 

Autres reseaux prives virtuels 

En attendant la stabilisation d'IPSec, il existe d'autres precedes pour creer des 
reseaux prives virtuels, integres a TCP/IP de facon peut-etre moins satisfaisante, 
mais plus pratique. 

1. L2TP (Layer Two Tunneling Protocol, RFC 2661), comme son nom l'in- 
dique, encapsule une liaison de couche 2 (liaison de donnees) sur un lien 
reseau (couche 3), ce qui permet a un PC distant d'avoir acces au reseau 
de son entreprise comme s'il etait connecte au reseau local, et ainsi d'avoir 
acces aux serveurs de fichiers, aux imprimantes, etc. 

2. MPLS (Multi-Protocol Label Switching, RFC 2547) est un protocole de ni- 
veau 3 (reseau) qui permet d'etablir un tunnel prive au sein d'un reseau 
public ; il est surtout utilise par les fournisseurs d'acces a l'lnternet pour 
proposer a leurs clients un moyen de creer un reseau prive entre plusieurs 
sites d'une meme entreprise. 

3. Mentionnons egalement des precedes pour creer des tunnels dits « IP dans 
IP » (couche 3, reseau) par divers precedes, ou encore les reseaux virtuels 
crees au moyen de TLS (Transport Layer Security), qui, comme son nom 
l'indique, est une version de la couche 4 renforcee du point de vue de la 
securite. 

Aujourd'hui, la plupart des VPN effectivement en fonction appartiennent a la 
derniere categorie de la liste ci-dessus. II existe des boitiers qui contiennent des 
systemes tout configures, qu'il suffit de placer derriere les routeurs d'entree de 
reseau pour disposer d'un VPN entre deux sites. 

II convient, avant de clore cette section, de signaler que si la technique des re- 
seaux locaux virtuels (Virtual Local Area Network, VLAN) vise un objectif en prin- 
cipe assez different de celui des VPN, elle peut dans certains cas etre envisagee 



Science de la securite du systeme d'information 



Deuxieme parfie 



comme une solution de substitution. Nous evoquerons cette technique plus loin, 
a la page 156. 



Comparer les precedes de securite 

Avant d'utiliser un precede de securite, il faut se faire une idee assez precise de 
ce que protegent, et de ce que ne protegent pas, les differents usages possibles du 
chiffrement : 

• Si Aldebert envoie a Barkissa un message electronique chiffre avec la cle 
publique GnuPG de Barkissa, seule Barkissa pourra lire le message ; meme 
si Aldebert par erreur a egalement envoye le message a Charlotte, celle- 
ci ne pourra pas le dechiffrer. Si un jour un juge d'instruction veut lire ce 
message qui en fait contenait le plan d'un complot pour renverser l'Etat, 
il devra obtenir la cle privee de Barkissa pour lire le contenu de sa boite a 
lettres. 

• Si Aldebert et Barkissa ne chiffrent pas les messages electroniques qu'ils 
echangent, mais que les serveurs de messagerie des reseaux locaux de leurs 
employeurs respectifs utilisent les versions securisees par TLS des proto- 
cols de courrier electronique SMTP et POP, les echanges seront chiffres 
pendant la circulation des messages sur le reseau, mais pas sur leurs postes 
de travail. Les messages seront ainsi proteges contre l'espionne Charlotte 
si celle-ci a acces au reseau, mais pas dans leurs boites a lettres respectives 
si Charlotte a acces a leurs ordinateurs. De meme, le juge d'instruction, 
lorsqu'il aura saisi les disques durs, pourra lire les messages sans difficultes. 

• Aldebert et Barkissa peuvent aussi disposer de VPN IPSec pour acceder 
aux reseaux qui abritent leurs serveurs de messagerie respectifs, qui ne sont 
accessibles que par ce precede : ce dispositif garantit que l'espionne Char- 
lotte ne pourra pas acceder a ces serveurs, car seuls les utilisateurs autorises 
et authentifies par IPSec le peuvent. Ce type d' acces permet a Aldebert, 
a Barkissa et a leurs collegues d'acceder ainsi a tous les services du reseau 
local, pas uniquement a la messagerie. 

• Les serveurs de messagerie respectifs d'Aldebert et de Barkissa pour- 
raient aussi etre accessibles par un dispositif de type Webmail, securise par 
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HTTPS, ce qui est une variante de la solution 2, ou le message lu reste sur 
le serveur. 



VOCABULAIRE SMTP et POP 

Simple Mail Transport Protocol est le protocole d'echange de messages electroniques 
entre serveurs de messagerie, il est egalement utilise par les logiciels de courrier electro- 
nique sur les postes de travail pour I'envoi des messages. La version securisee s'appelle 
ESMTP. 

Post Office Protocol est le protocole utilise sur un poste de travail pour relever une boTte 
a lettres sur un serveur de messagerie distant et transferer les messages sur le poste de 
travail. La version securisee s'appelle P0P3S. 



Partager des fichiers a distance 

Si Ton desire utiliser a distance (a travers l'lnternet) certains protocoles intrin- 
sequement non surs, l'etablissement d'un reseau prive virtuel est le seul moyen 
acceptable du point de vue de la securite. 

Le type meme du protocole non sur est le protocole de partage de fichiers : comme 
son nom l'indique, un tel protocole permet a plusieurs utilisateurs, depuis leurs 
postes de travail, d'acceder a des fichiers emmagasines sur un serveur distant, exac- 
tement comme s'ils etaient sur leur disque dur local (enfin, presque exactement). 
De tels protocoles ont nom : 

• AppleShare sur Macintosh ; 

• Network File System (NFS) dans l'univers Unix/Linux ; 

• Common Internet File System (CIFS), Server Message Block (SMB) ou Netbios 
dans le monde Microsoft Windows ; 

• et d'autres... 

Les protocoles de partage de fichiers sont a proscrire dans un environnement non 
sur pour les raisons suivantes : 

• par definition, ils permettent d'executer sur une machine distante un pro- 
gramme capable de creer, de modifier, de lire ou de detruire un fichier; il 
s'agit la d' actions puissantes et complexes ; 

• pour des raisons ou se melent la paresse des concepteurs et la recherche de 
meilleures performances, qui en est souvent le pretexte, il s'agit de protocoles 
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sans etat, c'est-a-dire que chaque message qui contribue a une action, et 
une action sur un fichier a distance comporte l'echange de nombreux mes- 
sages entre les deux ordinateurs, chaque message done est independant du 
precedent et du suivant ; 

• il decoule de la caracteristique precedente qu'il est relativement facile pour 
un attaquant de s'immiscer dans une action legitime en cours pour y inserer 
ses propres messages, qui vont avoir pour but d'accomplir des actions non 
desirees par le proprietaire du ou des fichiers ; 

• de fait, les protocoles de partage de fichiers ont fait l'objet d'innombrables 
publications de vulnerabilites dont beaucoup ne sont ni corrigees ni corri- 
gibles ; 

• lorsque Ton analyse les recherches que font les pirates sur le reseau (les scans 
de port) avec l'objectif de trouver des sites dont la fragilite pourrait etre fa- 
vorable a leurs projets, ce qu'ils recherchent avec le plus d'avidite, ce sont 
les machines qui offrent une porte ouverte sur un protocole de partage de 
fichiers, car e'est ce qu'il y a de plus facile a attaquer et a vaincre ; 

• utiliser un protocole de partage de fichiers a travers l'lnternet sans autre 
protection qu'un identifiant et un mot de passe pour acceder au serveur, 
protection largement illusoire ici, est proprement suicidaire. 

Outre ces raisons techniques, il y a des raisons tout simplement pragmatiques 
(nous pourrions dire aussi fonctionnelles, ou logiques) de ne pas utiliser de facon 
trop laxiste un protocole de partage de fichiers. La question des droits d'acces (lec- 
ture, ecriture, creation, destruction) doit faire l'objet de precautions particulieres. 
Les regies de bon sens sont les suivantes : un serveur de partage de fichiers peut 
etre ouvert soit en lecture et en ecriture exclusivement pour chaque proprietaire 
de chaque fichier, soit pour plusieurs personnes, mais alors en lecture seule, sinon 
il en resulte des accidents tels que corruption de fichiers ou « perte » des droits 
d'acces. Si on reflechit un peu en gardant a l'esprit la caractere « sans etat » du 
protocole, e'est logique, et 1' experience confirme ici largement le raisonnement lo- 
gique : aucun dispositif ne peut empecher que deux utilisateurs qui auraient ouvert 
directement sur le serveur un meme document de traitement de texte pour le mo- 
difier chacun de son cote ne le sauvegardent concurremment ; dans le meilleur des 
cas les modifications effectuees par un des auteurs seront perdues, et dans bien des 
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cas le document sera corrompu et irrecuperable ; les droits d'acces pourront aussi 
etre alteres de facon peu previsible par les manoeuvres d'un auteur. 



VOCABULAIRE Un port 

Un port (en francais sabord, orifice destine a laisser passer un flux) dans la terminologie 
TCP/IP est un numero conventionnel qui sera associe d'une part a un type de trafic 
(caracterise par le protocle utilise), d'autre part a une adresse IP. Le couple adresse IP 
- numero de port definit de que Ton appelle une socket, que Ton pourrait traduire par 
prise. Une socket identifie de facon unique une extremite de connexion. 

Par convention certains numeros de ports sont reserves aux serveurs de certains proto- 
coles ; ainsi le port 80 est reserve au protocole HTTP (Web), le port 25 a SMTP (courrier 
electronique), les ports n° 137, 138 et 139 au protocole de partage de fichiers Netbios, 
c'est-a-dire qu'un serveur Netbios sera en ecoute sur le reseau et attendra des tentatives 
de connexion sur ces numeros de port, cependant que les clients Netbios essaieront de 
s'y connecter. 

A I'extremite cote client, le numero de port est quelconque, en general superieur a 
1024, et unique pour son adresse IP. La connexion est ainsi identifiee de facon unique 
par le quadruplet {adresse IP d'origine, port d'origine, adresse IP de destination, port de 
destination}. Cette abstraction permet a un nceud unique du reseau d'etre simultanement 
serveur pour plusieurs protocoles, et egalement d'etre a la fois serveur et client. Les 
pirates recherchent activement sur I'lnternet les machines accessibles qui laissent ouverts 
des ports de protocoles reputes vulnerables pour essayer de compromettre le serveur a 
I'ecoute. 



Securiser un site en reseau 

Assurer la securite de systemes informatiques abrites sur un site connecte a I'ln- 
ternet et de ce fait accessible du monde entier est une autre branche de ce domaine 
dont, en 2006, beaucoup d' organisations ne semblent pas avoir pris l'exacte me- 
sure. 

Comme nous l'avons mentionne, il appartient tout d'abord aux responsables du 
site de determiner le perimetre qu'ils veulent proteger, ainsi que ce qu'ils veulent 
autoriser. 

Cet examen aboutit generalement a identifier un certain nombre de services qui 
doivent etre accessibles de l'exterieur par nature, comme un serveur Web, un re- 
lais de courrier electronique, un serveur DNS. Les ordinateurs qui abritent ces 
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services devront etre visibles de l'lnternet, c'est-a-dire que le DNS doit publier 
leurs adresses. 

Les autres ordinateurs, que ce soient des serveurs internes ou les stations de tra- 
vail des personnes qui travaillent sur le site, ne doivent pas etre visibles, mais il 
faut neanmoins qu'ils puissent acceder a l'lnternet. En d'autres termes, une ses- 
sion TCP initiee de Tinterieur du site depuis un de ces ordinateurs est autorisee, 
mais une session initiee de Texterieur vers le meme ordinateur est interdite parce 
que reputee erronee ou hostile (sous Tangle de la securite les deux termes sont 
quasiment synonymes). 

De quels moyens disposons-nous en 2006 pour mettre en ceuvre une telle poli- 
tique de securite ? II nous faut pour cela rappeler le fonctionnement des reseaux, 
et notamment ce qui concerne les donnees contenues dans les en-tete de data- 
grammes IP et de segments TCP, ainsi que le routage. 

Segmentation 

Chaque paquet IP qui se presente a un routeur est dote d'une fiche signaletique 
constitute de ses en-tete. Les informations principales, sous Tangle qui nous in- 
teresse ici, sont les adresses IP d'origine et de destination et le protocole de trans- 
port (TCP ou UDP), figurant dans Ten-tete de datagramme IP, et les numeros 
de ports d'origine et de destination, figurant dans Ten-tete de segment TCP ou 
de datagramme UDP. La mention dans Ten-tete IP du protocole de transport 
permet de connaitre le format de Ten-tete de transport (TCP ou UDP), et ainsi 
d'y retrouver le numero de port. Nous avons vu que Tassociation d'une adresse et 
d'un port constituait une socket. Une paire de sockets identifie de facon unique une 
connexion dans le cas de TCP. Le routeur maintient une table des connexions 
TCP etablies qui lui permet de determiner si ce paquet appartient a une commu- 
nication deja en cours (parce qu'etablie entre les memes adresses IP et avec les 
memes numeros de ports, par exemple) ou a une nouvelle communication. Bien 
sur, les adresses d'origine et de destination du paquet permettent au routeur de 
determiner le sort qui lui sera reserve : 

• delivrance directe au nceud destinataire sur un reseau local auquel le routeur 
est directement connecte ; 



Voir l'encadre page 121 pour la definition du port. 
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• emission vers un autre routeur, par une interface de sortie du reseau local, 
soit parce que les tables de routage disent que le reseau de destination est 
accessible par ce chemin, soit parce que c'est le routeur de sortie par defaut ; 

• mise a la poubelle. 

Le routage est un important instrument de securite. II permet de decouper un 
grand reseau en autant de sous-reseaux qu'on le souhaite, et de controler le tra- 
fic entre ces sous-reseaux. Les sous-reseaux peuvent d'ailleurs etre virtuels, pour 
s'affranchir des contraintes de localisation, ce qui sera de plus en plus souvent le 
cas avec le developpement de l'informatique mobile. Cela exige des competences 
et du travail : ce que nous avons dit du routage montre que c'est tout sauf simple. 
Mais un tel investissement est indispensable a qui veut disposer d'un reseau sur. 

Filtrage 

Forts de cette possibility, nous pourrons segmenter le reseau de notre site en un 
sous-reseau public, qui abritera les serveurs visibles de l'exterieur, et un sous-reseau 
prive, eventuellement divise lui-meme en sous-reseaux consacres a tel groupe ou 
a telle fonction. Chacun de ces sous-reseaux verra son acces et son trafic regis par 
des regies speciales. 

Les regies d' acces et de trafic appliquees aux reseaux consistent a etablir quels sont 
les type de paquets (en termes de protocole et de numero de port, en l'etat actuel 
de la technique) autorises en entree ou en sortie depuis ou vers tel reseau ou telle 
adresse particuliere. Ainsi un serveur de messagerie (appele egalement passerelle 
de messagerie, ou MTA, comme Mail Transfer Agent) pourra recevoir et emettre 
du trafic SMTP (port 25) mais n'aura aucune raison de recevoir du trafic NNTP 
(Network News Transfer Protocol) sur le port 119. Appliquer ce genre de regies, 
c'est faire du filtrage par port . 

Le sous-reseau public (souvent appele « zone demilitarisee » ou DMZ) devra faire 
l'objet de mesures de securite particulierement strictes, parce que de par sa fonc- 
tion il sera expose a toutes les attaques en provenance de l'lnternet. Le principe de 
base est : tout ce qui n'est pas autorise est interdit, c'est-a-dire que tout paquet qui 
n'a pas de justification liee aux fonctions du serveur de destination doit etre rejete. 

II est prudent que les serveurs en zone publique contiennent aussi peu de donnees 
que possible, et meme idealement qu'ils n'en contiennent pas du tout, pour eviter 
qu'elles soient la cible d' attaques. Ceci semble contradictoire avec le role meme 
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Figure 6.8 
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d'un acces a l'lnternet, mais cette contradiction peut etre resolue en divisant les 
fonctions. Ainsi pour un serveur de messagerie il est possible d'installer un relais 
en zone publique qui effectuera toutes les transactions avec le monde exterieur 
mais transmettra les messages proprement dits a un serveur en zone privee, in- 
accessible de l'exterieur, ce qui evitera que les messages soient stockes en zone 
publique en attendant que les destinataires en prennent connaissance. De meme 
un serveur Web pourra servir de facade pour un serveur de bases de donnees en 
zone privee. Ces serveurs en zone publique qui ne servent que de relais sont sou- 
vent nommes serveurs mandataires, ou mandataires applicatifs, proxy servers en 
anglais (cf. page 102). 

La figure 6.8 represente un tel dispositif, avec un routeur d'entree qui donne acces 
a la DMZ, et un pare-feu (firewall), qui est en fait un routeur un peu particulier 
dont nous detaillerons le role ci-dessous, qui donne acces a un reseau prive. 
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Le rekyage entre zone publique et zone privee fonctionne aussi dans l'autre sens : 
l'utilisateur en zone privee remet son courrier electronique au serveur prive, qui 
l'envoie au relais en zone publique, qui l'enverra au destinataire. Pour consulter 
une page sur le Web, l'utilisateur s'adresse au serveur relais qui emettra la vraie 
requete vers le monde exterieur. Ici le relayage peut procurer un autre avantage, 
celui de garder en memoire cache les pages obtenues pendant un certain temps, 
pour les fournir au meme utilisateur ou a un autre lorsqu'il les redemandera sans 
avoir a acceder a la source distante (une analyse statistique des requetes revele que 
dans un contexte donne les gens accedent souvent aux memes pages). 

Le filtrage par port permettra la communication entre le proxy et le serveur en 
zone privee de facon controlee. Les routeurs disposent de fonctions de filtrage 
assez elaborees, permettant de distinguer quels protocoles et quels numeros de 
ports sont autorises selon l'origine et la destination, et si telle communication a 
ete initiee depuis un nceud a l'interieur ou a 1' exterieur du reseau. 

Pare-feu 

La plupart des reseaux prives sont munis d'un pare-feu (firewall), ordinateur qui 
filtre les communications, un peu comme un routeur — d'ailleurs il est possible de 
configurer un routeur pour lui faire jouer le role d'un pare-feu simple. Un routeur 
doit decider au coup par coup du sort de chaque paquet, avec seulement une faible 
possibilite d' analyse historique, alors qu'un pare-feu efficace contre les attaques 
subtiles doit pouvoir faire des choses plus compliquees. 

La configuration d'un pare-feu consiste a rediger des regies propres a determiner 
les paquets autorises et les paquets interdits ; chaque paquet est caracterise par 
quelques parametres : 

• l'interface reseau sur laquelle le paquet est arrive ; un pare-feu a au moins 
deux interfaces, l'une connectee au reseau privee et l'autre connectee au lien 
d'acces a l'lnternet ; 

• le fait que le paquet se presente sur l'interface depuis l'interieur du pare-feu 
ou depuis le reseau ; 

• le protocole auquel appartient le paquet, tel que mentionne dans son en-tete 
IP; 

• les adresses d'origine et de destination, mentionnees dans l'en-tete IP du 
paquet ; 



Science de la securite du systeme d'information 



Deuxieme parfie 

• les numeros de port d'origine et de destination, mentionnes dans l'en-tete 
TCPouUDP; 

• s'il s'agit d'un paquet TCP, les numeros de sequence et d'acquittement, qui 
permettent de reconstituer la sequence des paquets d'une connexion TCP. 

Ces parametres permettent d'identifier le type de communication auquel appar- 
tient le paquet, et eventuellement de reconstituer une sequence. Le simple filtrage 
par port se traduit par la redaction de regies simples, qui peuvent prendre la forme 
de listes de controle d'acces (ACL) comme sur les routeurs Cisco. 

Le logiciel libre IP Tables I Netfilter A , qui permet de construire un pare-feu avec 
un systeme Linux, et qui est au cceur de beaucoup de pare-feu du commerce, offre 
de grandes possibilites en termes de suivi de connexion et d' analyse des paquets. 
IP Tables peut garder des datagrammes en file d'attente pour en reconstituer une 
sequence complete et en faire l'analyse, ce qui est indispensable si Ton veut detecter 
des protocoles furtifs comme certains systemes poste a poste, tels Skype et KaZaA, 
que nous evoquerons a la page 210. 

Routeur filtrant et pare-feu, configures pour repousser certaines attaques en reje- 
tant des paquets appartenant a des connexions suspectes, produisent des fichiers 
de comptes rendus (dits journaux, ou logs) qui relatent les incidents. II est bien sur 
indispensable, pour beneficier de la protection qu'ils sont censes procurer, d'ana- 
lyser le contenu de ces fichiers et de les confronter avec les avis publies par les 
CERT (Computer Emergency Response Teams) — sur les CERT voir la page 17. 
Ceci suppose des ingenieurs competents pour ce faire, ce qu'oublient certaines en- 
treprises qui se croient protegees en achetant (fort cher) un pare-feu cles en mains, 
configure avec des filtres pertinents a un instant donne, mais perimes quinze jours 
plus tard, et qui se retrouvent ainsi dotes d'une magnifique ligne Maginot. 

II existe un marche assez actif du pare-feu, ainsi que des logiciels fibres, tel IP 
Tables mentionne ci-dessus, qui permettent de realiser un pare-feu avec un ordi- 
nateur sous un Unix libre. II existe des logiciels pare-feu pour ordinateur indivi- 
duel, tel celui que Microsoft incorpore desormais a son systeme Windows, ou Zone 
Alarm. IP Tables peut etre configure en pare-feu personnel pour machine Linux 
isolee ; c'est assez complexe, mais il existe des enrobages pre-configures tres fa- 
ciles d'emploi, comme par exemple Firestarter . Les routeurs ADSL pour reseau 
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personnel comportent tous un pare-feu, parfois assez puissant. Tous ces systemes 
sont utiles des lors qu'ils sont correctement parametres, mais aucun n'est une pa- 
nacee. Pour un reseau d'entreprise, l'efficacite d'un pare-feu est subordonnee aux 
conditions suivantes : 

• il y a un ingenieur competent charge du pare-feu, qui a le temps de le confi- 
gurer et d'en analyser les journaux ; 

• le pare-feu est du modele que connait bien l'ingenieur ; 

• le logiciel ou le firmware du pare-feu ont recu les dernieres mises a jour de 
securite ; 

• il existe un document qui definit ce qui est autorise sur le reseau ; 

• tout ce qui n'est pas explicitement autorise par le document evoque ci- 
dessus est interdit, et cette interdiction est traduite dans les regies du pare- 
feu. 

Les exigences pour un pare-feu personnel sont moins lourdes, parce que le pro- 
bleme est plus simple : en general, il y a une seule adresse IP publique, even- 
tuellement partagee au moyen d'un routeur qui fait la traduction d'adresses (cf. 
page 147), et il n'y a aucune raison d'autoriser les connexions entrantes, sauf peut- 
etre un acces distant par SSH (Secure Shell) ou L2TP (Layer Two Tunneling Pro- 
tocol). Sur la machine Linux qui sert a rediger le present ouvrage, l'auteur utilise 
le logiciel libre IP Tables I Netfilter, muni de l'interface Shorewall qui en facilite 
l'emploi. Voici le fichier de regies /etc/shorewall/rules : 



#ACTION 


SOURCE 


DEST 


PROTO 


DEST 


SOURCE ORIGINAL 


# 








PORT 


PORT(S) DEST 


ACCEPT 


net 


fw 


icmp 
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ACCEPT 


fw 
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net 


fw 








#LAST LINE - - ADD 


YOUR 


ENTRIES 


BEFORE 


THIS ONE -- 



et le fichier de « policy » /etc/shorewall/policy, des plus simples : 

#SOURCE DEST POLICY LOG LEVEL 

fw net ACCEPT 

net all DROP info 

# The FOLLOWING POLICY MUST BE LAST 

all all REJECT info 

#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- 



6 http : //www . shorewall . net/ 
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Lors de l'examen d'une demande d'acces reseau, le pare-feu examine d'abord le 
fichier de regies puis, si aucune regie ne correspond a la situation, le fichier de 
« policy » ; la premiere ligne de l'un des deux fichiers qui correspond a la situation 
s applique, les suivantes ne sont pas examinees. Comme la machine est unique, elle 
est confondue avec le pare-feu et constitue a elle toute seule la zone fw. Les regies 
disent que Ton autorise les acces au reseau depuis la zone interne fw (sortants), 
ainsi que le protocole ICMP (essentiellement ping) du reseau vers la machine 
et vice-versa, ainsi que 1' acces par SSH depuis le reseau. Les autres types d'acces 
depuis le reseau (entrants) sont proscrits. 

J'ai vu des configurations de pare-feu qui se resumaient en une litanie d'ouverture 
de ports notoirement dangereux pour des adresses IP specifiques : une telle confi- 
guration assure une securite nulle, parce que l'usurpation d'adresse IP est un sport 
que tous les pirates pratiquent depuis l'ecole maternelle, tellement c'est facile. 



Important 

On ne le repetera jamais assez, il est indispensable, sur un acces a I'lnternet, d'interdire 
les protocoles de partage de fichiers, notamment Netbios (ports 137, 138, 139, protocoles 
TCP et UDP). 



Protection d'un poste Linux isole avec Netfilter 

La mise en ceuvre de Netfilter dans un systeme Linux permet plusieurs usages. Le 
premier qui vient a l'esprit est de remplacer un boitier du commerce par un ordi- 
nateur Linux disposant de plusieurs cartes Ethernet pour obtenir un pare-feu plus 
economique. Cette notion d'economie est cependant toute relative : l'utilisateur 
devra s'assurer que les fonctions offertes sont suffisantes, et qua l'arrivee le cout 
d' exploitation reste compatible avec ses objectifs. D'experience, l'administration 
d'un Netfilter necessite des connaissances techniques plus importantes qu'avec 
certains produits sur etagere du marche. Que le lecteur ne se prenne cependant 
pas a croire qu'administrer un pare-feu du marche, aussi bien soit-il, puisse se 
faire sans competences. 

Un autre usage ou Netfilter apporte un interet certain, c'est la protection du poste 
de travail Linux isole : que je sois un particulier raccorde a I'lnternet sur une liaison 
ADSL ou une petite entreprise avec un serveur isole rendant certains services, 
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Netfilter me permet de mettre en oeuvre un bon niveau de securite sans devoir 
faire l'acquisition d'un boitier complementaire. 

L'important est de bien definir sa politique de securite en fonction de l'usage qui 
est prevu. La suite de cet expose proposera une mise en ceuvre pour un poste de 
travail isole et raccorde de facon permanente a l'lnternet tout en disposant d'une 
adresse IP publique (il n'y a done pas de traduction d'adresses). 

En premier lieu il convient de definir en des termes simples la politique de securite 
qui doit etre mise en oeuvre. Celle de notre exemple est tres simple : 

• la machine Linux heberge un serveur Web (HTTP et HTTPS) qui doit 
etre accessible depuis tout l'lnternet ; 

• un serveur de courrier (SMTP) recoit les correspondances de l'exterieur ; 

• un acces par le protocole SSH est autorise a certaines adresses IP en prove- 
nance de l'lnternet ; 

• l'utilisateur local peut utiliser les services HTTP, HTTPS, FTP et SSH 
depuis la machine vers toute destination de l'lnternet ; 

• les services DNS et NTP (synchronisation de l'heure) sont autorises car ce 
sont des services de base indispensables ; 

• tout autre trafic est interdit, mais le trafic ICMP associe aux connexions 
legitimes doit, lui, etre achemine a destination ; 

• le trafic provenant de certaines adresses IP (et notamment des adresses IP 
privees definies dans la RFC 1918) est interdit, car il n'a aucune raison 
d'arriver sur la machine en provenance de l'lnternet. 

L' absence d'une configuration de type « mode diode » est voulue. L'administrateur 
pourra a loisir faire evoluer la liste des regies pour autoriser des services supple- 
mentaires. II veillera cependant a conserver lisibilite et simplicity dans les regies et 
s'interdira d'ouvrir des services dangereux. 

Par convention, dans 1' exemple de regies ci-apres, l'unique interface reseau de la 
machine Linux s'appelle eth0. Les commandes iptables proposees sont ap- 
pelees avant le demarrage de l'interface reseau afin de garantir une protection 
des le premier instant. Sur un systeme Linux-Debian l'administrateur pourra 
judicieusement placer ces commandes dans un script situe dans le repertoire 
/etc/network/if-pre-up . d et l'appeler iptables. 
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##\ /bin/sh 

## 

## Ce script est a lancer juste avant la raise a disposition de 1' interface 

## reseau. Le premier test ci-apres n'a de sens que dans un environnement 

## Linux Debian lorsque le script est place dans le repertoire 

## /etc/network/if -pre-up . d (ici il s'agit d' activer les regies pour ethO 

## et de ne rien faire dans tous les autres cas). 

test "${IFACE}" = "eth8" I I exit 8 

## Charger les modules (si cela n'a pas deja ete fait au 

## demarrage du systeme) . 

modprobe iptables ip_conntrack ip_conntrack_ftp 

## Effacer toutes les regies actuellement presentes sur la machine. 
iptables -F; iptables -X 

## La premiere regie vise a interdire tout le trafic dans les principales 

## chaines du module Netfilter . La chaine INPUT prend en charge les 

## paquets a destination de la machine, la chaine OUTPUT traite les 

## paquets emis par la machine et enfin la chaine FORWARD n'est utilisee 

## que si le systeme assure une fontion de routeur et dispose de plusieurs 

## cartes reseau, ce qui n'est pas le cas de notre exemple . Les ordres 

## ci-apres ont done pour effet de "fermer" le systeme : tout le trafic 

## reseau est interdit. 

iptables -P INPUT DROP 

iptables -P OUTPUT DROP 

iptables -P FORWARD DROP 

## Nous allons maintenant definir un certain nombre de chaines de controle 
## qui seront utilisees ulterieurement. Ceci contribue a la lisibilite de 
## la politique de securite. 

## listenoire : il s'agit des reseaux IP desquels aucun trafic provenant 

## de 1' Internet n'est legitime. Cela comprend les adresses privees , mais 

## aussi l'adresse IP de la machine et de certains reseaux specifiques. 

iptables -N listenoire 

iptables -A listenoire -s 127.8.8.8/8 -j DROP ## Loopback 

iptables -A listenoire -s 18.8.8.8/8 -j DROP ## RFC-1918 

iptables -A listenoire -s 172.16.8.8/12 -j DROP ## RFC-1918 

iptables -A listenoire -s 192.168.8.8/16 -j DROP ## RFC-1918 

iptables -A listenoire -s x.x.x.x -j DROP ## Won adresse IP 

iptables -A listenoire -s x.x.x.x/yy -j DROP ## Reseau indesirable 

## serveurs : les regies a appliquer au trafic en entree vers les 
## quelques services accessibles de 1' exterieur (SMTP, HTTP, HTTPS 
## & SSH depuis certains reseaux seulement) . 
iptables -N serveurs 

## Autoriser le courrier electronique (port 25, SMTP) 
iptables -A serveurs -p TCP --dport smtp \ 
-m state --state NEW , ESTABLISHED -j ACCEPT 
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## Les acces aux serveurs WWW 

iptables -A serveurs -p TCP --dport http \ 

-m state --state NEW , ESTABLISHED -j ACCEPT 
iptables -A serveurs -p TCP --dport https \ 

-m state --state NEW , ESTABLISHED -j ACCEPT 
## Le reseau 194 . 2 . 11 . 128/25 peut se connecter avec SSH 
iptables -A serveurs -p TCP --dport ssh -s 194.2.11.128/25 \ 

-m state --state NEW , ESTABLISHED -j ACCEPT 

## autres_in : regies pour attraper tout ce qui doit l'etre, c ' est-a-dire 

## le trafic retour des connexions TCP et UDP etablies (a 1' initiative de 

## la machine) mais aussi le trafic ICMP en rapport avec des connexions 

## 6tablies . 

iptables -N autres_in 

iptables -A autres_in -p TCP \ 

-m state --state ESTABLISHED , RELATED -j ACCEPT 
iptables -A autres_in -p UDP \ 

-m state --state ESTABLISHED -j ACCEPT 
iptables -A autres_in -p ICMP \ 

-m state --state RELATED -j ACCEPT 



## Appliquer les regies de securite sur le trafic provenant de 1' Internet 

## et destine a la machine Linux. 

-i ethS -j listenoire ## La liste noire 

-i eth.8 -j serveurs ## Le serveurs sur ma machine 

-i eth.8 -j autres_in ## Autres sessions 

-i eth.0 -j DROP ## Tout le reste a la poubelle 



iptables -A INPUT 

iptables -A INPUT 

iptables -A INPUT 

iptables -A INPUT 



## clients : regie pour autoriser le trafic en sortie, 
## le droit de faire en direction de 1 ' Internet . 



ce que ma machine a 



## Le service DNS (ports 53 UDP & TCP) 
iptables -N clients -p TCP --dport domain \ 

-m state --state NEW , ESTABLISHED -j ACCEPT 
iptables -N clients -p UDP --dport domain \ 

-m state --state NEW , ESTABLISHED -j ACCEPT 
## File Transfer Protocol 
iptables -N clients -p TCP --dport ftp \ 

-m state --state NEW , ESTABLISHED -j ACCEPT 
## Synchronisation de l'heure 
iptables -N clients -p UDP --dport ntp \ 

-m state --state NEW , ESTABLISHED -j ACCEPT 
## La navigation "standard" vers 1 ' Internet 
iptables -N clients -p TCP --dport http \ 

-m state --state NEW , ESTABLISHED -j ACCEPT 
iptables -N clients -p TCP --dport https \ 

-m state --state NEW , ESTABLISHED -j ACCEPT 
## Envoyer du courrier electronique 
iptables -N clients -p TCP --dport smtp \ 

-m state --state NEW , ESTABLISHED -j ACCEPT 
## Autoriser toute connexion SSH sortante 
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iptables -N clients -p TCP --dport ssh \ 

-m state --state NEW , ESTABLISHED -j ACCEPT 

## autres_out : regies pour attraper tout ce qui doit l'etre, c'est-a-dire 
## le trafic retour des connexions TCP et UDP etablies (a 1' initiative de 
## 1 ' exterieur comme par exemple une connexion SMTP entrante). 
iptables -N autres_out 
iptables -A autres_out -p TCP \ 

-m state --state ESTABLISHED , RELATED -j ACCEPT 
iptables -A autres_out -p UDP \ 

-m state --state ESTABLISHED -j ACCEPT 
iptables -A autres_out -p ICMP \ 

-m state --state RELATED -j ACCEPT 

## Appliquer les regies de securite sur le trafic sortant (c'est a dire 

## celui de la machine a destination de 1' Internet). 

iptables -A OUTPUT -o ethS -j clients ## Les services "client" autorises 

iptables -A OUTPUT -o ethS -j autres_out ## Autres sessions 

iptables -A OUTPUT -o ethS -j DROP ## Tout le reste a la poubelle 



Important 

Les regies proposees utilisent le module connection tracking du noyau Linux (ce module 
fait partie integrante de Netfilter). Son interet est de faire evoluer Netfilter d'un simple 
filtre de paquets (pour une liste de controle d'acces sur un routeur IP) vers un pare-feu a 
etats (stateful firewall). On ne saurait aujourd'hui demander moins, les filtres de paquets 
etant insuffisants dans la quasi-totalite des situations qui peuvent se presenter. 



Listes de controle d'acces pour le reseau 

Les listes de controle d'acces (access control list, ACL) pour controler les acces a 
un reseau, introduites par Cisco, utilisent les memes principes que les ACL Posix 
evoquees a la page 44, mais elles sont adaptees, plutot qu'aux fichiers, aux objets 
du reseau : interfaces reseau, adresses IP et ports. Ainsi, les entrees ci-dessous : 

int Ethernet 1 

access-group 1Q1 in 
int serial 

access-group 1S1 in 



Securite du reseau 



Chapitre 6 

disent que le filtrage des paquets en entree du routeur (parametre in) sur les inter- 
faces Ethernet 1 et serial sera conforme aux regies contenues dans la liste 
d'acces n° 101, que void : 

access-list 101 permit tcp any host 192.168.35.1 eq www 
access-list 101 permit tcp any host 192.168.35.1 eq 443 
access-list 101 permit icmp any host 192.168.35.1 eq echo 

Ces regies disent que le serveur a l'adresse 192 . 168 . 35 . 1 ne peut etre atteint que 
par les deux ports Web ouverts (www est un raccourci pour le port 80), et qu'il peut 
aussi etre atteint par la commande ping. 

Les pare-feu personnels pour ordinateurs sous Windows 

Un pare-feu se presente habituellement comme un appareil qui s'installe en rup- 
ture de flux entre plusieurs zones de securite : une situation courante est une se- 
paration entre trois espaces que sont l'lnternet (reseau dangereux par nature), une 
DMZ (qu'il est important de proteger mais qui peut etre amenee a discuter avec 
l'lnternet) et le reseau interne qui ne doit recevoir aucune connexion de l'exterieur 
mais peut etre amene a communiquer de facon controlee avec la DMZ et parfois 
meme l'lnternet. 

La logique de conception d'une politique de securite repose dans ce cas sur la 
definition de regies de flux. Les connexions autorisees sont definies a partir de 
l'adresse IP source (eventuellement d'un numero de port) et d'un protocole, cela a 
destination d'un service bien particulier (numero de port) et peut-etre meme d'une 
plage restreinte d'adresses IP. Les produits classiques (dits « a etats », ou stateful) 
verifieront la conformite du trafic au niveau du protocole de couche 4 (TCP ou 
UDP) alors que des produits plus evolues (et souvent plus couteux) pourront en 
plus s'assurer d'une certaine conformite au protocole suppose etre transporte. 

En complement (ou parfois au titre de seule et unique protection pour un poste 
isole) de ces produits de securite situes aux extremites du reseau il est de plus en 
plus courant d'equiper ses micro- ordinateurs d'un logiciel pare-feu. L'utilisateur 
d'un systeme de type Linux pourra faire cela a moindres frais : Netfilter lui permet- 
tra de proteger son poste de travail tout en concevant ses regies de securite de la 
meme fafon qu'il le ferait pour un pare-feu situe dans le reseau (cf. la section 128). 
L'utilisateur d'un systeme Windows recent n'est pas oublie non plus : que ce soit 



Science de la securite du systeme d'information 



Deuxieme parfie 

le pare-feu integre au systeme d' exploitation Windows XP ou bien un produit du 
commerce, comme le pare-feu Sygate ou l'un de ses nombreux derives, l'utilisateur 
peut mettre en ceuvre des moyens de protection de son ordinateur. 

La philosophic de fonctionnement et de gestion, voire de conception, des regies 
de securite est cependant tres differente entre ces produits et les plus classiques 
pare-feu reseau : si ces outils permettent, avec plus ou moins de facilite, la defini- 
tion de regies reseau, leur interet principal est d'y associer des autorisations d'acces 
au reseau pour des programmes. Une regie de securite autorisant le courrier elec- 
tronique pourrait ainsi devenir « j'autorise le programme Thunderbird, et lui seul, 
a se connecter sur le port 25 (SMTP), afin d'envoyer du courrier electronique ». 

Dans la pratique, les interfaces de gestion proposees ne sont pas aussi pratiques 
qu'on le souhaiterait : dans un souci de simplicite (car l'utilisateur n'est en general 
pas un expert de securite informatique), les autorisations d'acces au reseau que 
l'utilisateur peut etre amene a donner restent assez larges. 

Un mode de fonctionnement assez typique de ce genre de produit est le suivant : 

• a l'installation un certain nombre de regies par defaut autorisent du trafic 
sur le reseau (certains programme du systeme) ; 

• lorsqu'un nouveau programme souhaite acceder au reseau, le pare-feu per- 
sonnel detecte cette action et va emettre une alerte aupres de l'utilisateur, 
lui laissant le choix : autoriser ou bloquer ce trafic (et eventuellement se 
souvenir de ce choix pour la prochaine fois) ; 

• a moins d'utiliser des regies avancees, pas toujours faciles a configurer, l'au- 
torisation precedemment donnee vaut pour tout le trafic reseau que le pro- 
gramme pourrait etre amene a traiter, qu'il soit pour le service ayant genere 
l'alerte ou bien pour un autre service - et c'est la qu'est le danger. 

Le pare-feu du systeme d'exploitation Windows XP 

Lorsque 1' option pare-feu est activee dans Windows XP (cela se fait dans les pro- 
prietes avancees d'une carte reseau), elle permet de mettre l'ordinateur dans un 
mode de fonctionnement de type « diode » : tout le trafic sortant est autorise, mais 
le trafic entrant est, lui, interdit, sauf exception. Ces exceptions peuvent se confi- 
gurer manuellement ou bien donner lieu a une alerte lorsqu'elles se presentent. 
Illustrons par deux exemples. 
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Situation n° 1 : connexion SSH vers une machine distante en utilisant le 
programme Putty. Cette situation ne donnera lieu a aucune alerte puisque, 
s'agissant d'une connexion sortante, elle n'est pas bloquee par le pare-feu 
Windows XP. 

Situation n° 2 : l'utilisateur lance le programme VLC (Videolan) et y confi- 
gure un serveur pour diffuser du contenu sur le port TCP n° 1234. Cette 
action sera intercepted par le pare-feu Windows XP des que le programme 
VLC indique au systeme qu'il est pret a recevoir les connexions TCP sur le 
port n° 1234. Le pare-feu ouvrira alors une alerte pour demander a l'utili- 
sateur de decider (figure 6.9). 



Figure 6.9 

Panneau d'alerte du 
pare-feu de Windows 



' Alerte de securite Windows 



*i\ 



Pour vous aider a piotegei votre ordinateur, le Pare-feu 
Windows a bloque certaines fonctionnalites de ce programme. 



Voulez-vous continuer a bloquer ce programme ? 

Norn : VLC media player 

St liditeur : VideoLAN Team 



Maintenir le blocage 



Debloquer 



Maintenir le blocage et me redemander ulterieurement 



Pour plus de securite, le Pare-feu Windows bloque actuellernent I'acceptation des 
connexions Internet ou reseau pour ce programme. Si vous faites confiance a ce 
programme ou a son editeur, vous pouvez le debloquer. Quand puis-ie debloquer un 
programme ? 



Cette alerte, simple a comprendre, laisse cependant l'utilisateur expert sur 
sa faim : elle ne donne aucune information quant a la nature du trafic reseau 
qu'il faut autoriser (ou interdire), probablement parce que la decision par 
defaut sera, en cas de deblocage, d' autoriser tout trafic entrant destine au 
programme VLC, que ce soit sur le port n° 1234 ou bien pour un autre 
service. 
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Figure 6.10 

Panneau de configuration du 
pare-feu de Windows 



" Pare-feu Windows 



*i 



General Exceptions | Avance | 



Le Pare-feu Windows bloque les connexions reseau entrantes. a I'ewception des programmes 
et services selectionnes ci-dessous. Le fait d'aioufer des exceptions peut permettre a certains 
programmes de mieuw fonctionner, mais peut egalement augmenter vos risques 



Programmes et services : 



Nom 

Bureau a distance 

Infrastructure UPnP 

Partage de fichiers et d'innprimantes 

VLC media player 



Ajouter un programme... Ajouter un port... 



Modifie 



? Afficher une notification lorsque le Pare-feu Windows bloque un programme 

^ .\-' : ' : :vv: : ; ;v' :■. ■■:■ .'■■/ - stion des exceptions ? 



OK 



Annule: 



II est bien sur possible de consulter a tout moment l'etat des autorisations (via les 
proprietes avancees de la carte reseau), comme on le voit sur la figure 6.10. 

Ce tableau est d'ailleurs l'occasion de voir 1' existence de quelques exceptions « par 
defaut » qu'il n'est pas possible de supprimer (les quatre premieres lignes de la 
copie d'ecran ci-dessus). 

C'est egalement depuis cet ecran que l'utilisateur pourra modifier les regies, par 
exemple pour restreindre l'autorisation de base accordee par le pare-feu Windows 
et limiter les plages d'adresses IP ou les numeros de ports autorises. 
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Un pare-feu personnel derive de la technologie Sygate 

Lorsque le systeme n'integre pas de pare-feu en standard (par exemple Windows 
2000) ou que les fonctions du pare-feu Windows XP sont jugees insuffisantes, 
il existe une plethore de produits qui pour quelques dizaines d'euros permettent 
de rendre des services de securite. Nous illustrons cette section avec des copies 
d'ecran issues du produit Netscreen Remote Security Client (version datant de 2002), 
qui utilise la technologie Sygate. 

Le principe de fonctionnement est similaire au produit precedent, mais il integre 
quelques fonctions complementaires qui peuvent etre utiles, par exemple : 

• la detection de certaines attaques comme un port scan ; 

• la possibility d'autoriser ou d'interdire les services reseau Microsoft (partage 
d'imprimante, de fichiers, ou utilisation de tels serveurs) ; 

• des facilites pour mettre en ceuvre des regies « reseau » comme avec un pare- 
feu classique. 

Le systeme d'autorisation, programme par programme reste comparable a celui du 
pare-feu Windows XP, avec en plus un controle aussi bien en entree qu'en sortie. 

Reprenons l'un des exemples precedents pour illustrer les quelques differences : 
connexion SSH vers la machine lamachinede.mondomaineamoi.fr en utili- 
sant le programme Putty. Le pare-feu emettra l'alerte illustree par la figure 6.11 
meme pour cette connexion sortante, parce que ce programme n'a pas ete autorise 
lors d'une utilisation precedente. 



Figure 6.11 IMHgSBHiBHBIHMimigiMwiiiiaiiinifff^^^^^^M 2S| 

IVIITG Q 3IGTTG QU JS3^ C:\WINNT\putty.exe is trying to connect to lamachinede.rmondormaineamoi.fr [82.238.132.98] using 

Dare-feU S\/03te |m1~ remote port 22 (SSH - SSH Remote Login Protocol). Do you want to allow this program to access the 

^ '** ( ^^ network? 



i^. iR ermember my answer, and do not ask me I y 

lagain for this application. - 



No Detail » 



Ici aussi, il faudra, lors d'une deuxieme operation, utiliser les proprietes avancees 
dans la liste des programmes autorises pour preciser le souhait de n'autoriser que 
les connexions sortantes TCP sur le port n° 22, comme indique sur la figure 6.12. 
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Si cette configuration avancee est relativement simple a faire pour un programme 
comme putty, qu'en est-il lorsqu'il s'agit d'indiquer au pare-feu des regies avan- 
cees pour un programme systeme, comme celui montre sur la figure 6.13 ? 
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Figure 6.12 

Panneau de configuration du pare-feu Sygate 



Figure 6.13 

Panneau de configuration du pare-feu Sygate 



A moins d'etre un expert du fonctionnement de Windows 2000, bien peu de 
personnes sont en mesure de dire quels sont les flux qui peuvent etre autorises 
pour le programme inetinf o . exe, et dans ce cas on se contentera du choix par 
defaut, a savoir : tout trafic reseau de ce programme est autorise, sans restrictions. 



Le systeme de noms de domaines (DNS) 

Le DNS, ou systeme de noms de domaines (Domain Name System) est le sys- 
teme d'annuaire reparti destine a traduire, sur l'lnternet, des noms de serveurs en 
adresses reseau. 
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Pour etablir par un reseau d'ordinateurs une liaison selon le protocole IP (Internet 
Protocol), le noeud a l'initiative de la communication doit emettre des paquets de 
donnees vers le nceud destinataire, qui lui repondra. Pour ce faire, les paquets 
doivent comporter un en-tete qui comprendra notamment les adresses d'origine 
(le nceud emetteur) et de destination (le nceud destinataire). Mais un utilisateur 
de l'lnternet ne connait generalement pas les adresses des machines avec lesquelles 
il veut communiquer. Ce qu'il veut faire, le plus souvent, c'est envoyer un courrier 
electronique, par exemple a 1'INRIA, ou consulter le serveur http : //www . sncf . fr 
pour connaitre l'horaire de train, www. sncf. fr n'est pas une adresse, mais un nom 
qui designe la machine qui abrite le serveur desire, sncf. fr n'est pas une adresse 
mais un nom qui designe un domaine au sein duquel se trouve par exemple un 
serveur de courrier electronique nomme mail.sncf.fr, qui detient la boite aux 
lettres electronique d'un certain nombre d'abonnes. Mais la couche reseau IP n'a 
que faire des noms, elle ne connait que des adresses. 

Fonctionnement du DNS 

II faut se dire qu'avant meme de resoudre cette embarrassante affaire de noms 
et d'adresses, ce que Ton veut envoyer ce ne sont pas des paquets IP, mais des 
courriers electroniques ou des interrogations au serveur. Mais la, la reponse est ai- 
see. Tout bon logiciel de courrier electronique donnera a notre message la mise en 
forme convenable (definie par une Request for Comment (RFC) fameuse entre tous, 
la RFC 822, mise au gout du jour par le 2822), puis le transmettra a un logiciel 
serveur de messagerie (couche application) conforme au protocole de transport de 
courrier electronique SMTP (Simple Mail Transfer Protocol) tel que Sendmail ou 
Postfix, qui s'occupera de determiner comment atteindre le destinataire, et trans- 
ferera toutes les informations et donnees necessaires au protocole de transport 
TCP (couche 4 de l'OSI), qui lui-meme entamera les manoeuvres necessaires en 
envoyant des flux de bits a la couche IP (couche 3 de l'OSI), qui decoupera tout 
cela en paquets avec les bonnes donnees et les bonnes adresses, et les enverra a la 
couche liaison de donnees (couche 2 de l'OSI). 
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Les passerelles de messagerie 

Sendmail et Postfix sont des logiciels dits de passerelle de messagerie (Mail Transfert 
Agent, MTA), de meme que Qmail et Exim. Une passerelle de messagerie est chargee 
de I'expedition et de la distribution du courrier electronique, a la difference de logi- 
ciels comme Eudora, Thunderbird ou Outlook, qui sont des clients de messagerie (User 
Agent, UA), charges de remettre le courrier depart au MTA et de relever la boTte a 
lettres. Sendmail, concu par Eric Allman, a joue un role historique considerable dans le 
developpement de I'lnternet, c'est I'exemple de ces logiciels libres sans lesquels I'lnternet 
n'existerait pas. Postfix, concu par Wietse Venema, est repute pour sa securite. 



Si Ton revient maintenant a la question initiale, le nom d'un serveur (de courrier 
electronique, Web, etc.) est connu et ce qu'il faut a la couche IP c'est son adresse, 
qui ici joue plutot le role du numero de telephone. Dans la vie courante, pour 
repondre a ce genre de question il y a des annuaires : sur I'lnternet c'est la meme 
chose. L'annuaire qui permet, si Ton connait le nom d'un serveur, de trouver son 
adresse, et vice-versa, s'appelle le DNS (Domain Name System). 

Fonctionnellement, la description du DNS tient en deux lignes : c'est une liste a 
deux colonnes, dans la colonne de droite on a les noms, dans la colonne de gauche 
les adresses. D'ailleurs aux origines de I'lnternet il en etait reellement ainsi, et les 
fichiers hosts en conservent le souvenir. Aujourd'hui le DNS est une immense 
base de donnees distribute sur l'ensemble de la planete, l'une des plus grandes qui 
existent. Le processus de resolution de noms en adresses est complete par un autre 
service, qui publie les noms des serveurs de courrier electronique qui desservent un 
domaine et permet ainsi la distribution planetaire des messages electroniques. II 
faut definir maintenant ce qu'est un domaine, et ceci fait l'objet de l'alinea suivant. 

Un espace abstrait de noms de serveurs et de domaines 

L'espace des noms de I'lnternet (il est important de garder a l'esprit que les sche- 
mas qui vont suivre decrivent un espace abstrait de noms de serveurs et de do- 
maines, c'est-a-dire la structure d'un ensemble d'informations, et pas la topologie 
du reseau physique qui les relie), est organise de facon hierarchique, selon un 
schema caique sur l'organisation du systeme de fichiers Unix. Ce systeme genial, 
dont le fonctionnement n'est pas tres facile a comprendre, a ete defini par Paul 
Mockapetris dans les RFC 1034 et 1035. 
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La figure 6.14 montre 1' organisation hierarchique de l'espace de noms de l'ln- 
ternet. Chaque noeud de l'arbre, represents par un cercle, comprend un label, 
qui peut avoir jusqu'a 63 caracteres de long, et pour lequel les lettres minus- 
cules et majuscules ne sont pas distinguees. Le nom de domaine d'un noeud 
s'obtient en construisant la sequence de tous les labels des noeuds compris 
entre le noeud considere et la racine inclus, separes par des points, par exemple 
vera . sophia . inria . fr. 



Figure 6.14 

Organisation en arbre des 
noms de domaines 



racinesans 
nom 




vera ] salome ( electre) 
alias aliasftp aliasdns 



Sous une racine sans nom se trouvent un certain nombre de domaines de premier 
niveau (TLD, pour Top Level Domains). Chaque entreprise, association, univer- 
site ou autre entite desireuse d'acceder a l'lnternet appartiendra a un de ces do- 
maines. Ceux qui ont des noms a trois lettres sont dits domaines generiques : com, 
edu, net, gov, respectivement pour les activites commerciales, educatives, liees au 
reseau ou rattachees au gouvernement americain. Les TLD a deux lettres sont des 
domaines geographiques : fr, ca, be, de, dz respectivement pour la France, le 
Canada, la Belgique, i'Allemagne et l'Algerie. Le domaine arpa a un role par- 
ticulier, il sert a la resolution inverse, c'est-a-dire a la traduction des adresses en 



noms. 
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Les serveurs DNS racine de I'lnternet 

Les serveurs racine du DNS utilise dans I'lnternet et connus sous les noms 
a. root-servers. net a m. root-servers. net sont representee sur I'lnternet par 13 
adresses IP. Dans la realite le nombre d'equipements est bien sur tres superieur a 13. 

Certains serveurs racine sont constitues de plusieurs machines (eventuellement derriere 
un repartiteur de charge) afin d'assurer des redondances et permettre le traitement d'un 
nombre de requetes plus important. 

D'autres (par exemple K) sont deployes en utilisant une technique fort interessante pour 
une telle application : le routage Anycast. Cette technique consiste a repliquer I'adresse 
IP en de nombreux lieux geographiques judicieusement choisis. Le protocole de routage 
de I'lnternet (Border gateway protocol, BGP) fera le reste du travail et acheminera les 
utilisateurs aupres du serveur K (disponible) le plus proche. 

Une autre mesure complementaire visant a augmenter le niveau de securite consiste en 
I'utilisation de materiels, systemes d'exploitation et logiciels differents pour rendre la 
meme fonction : ainsi un defaut qui affecterait une technologie precise n'aura peut-etre 
pas d'impact sur un produit different. 

Pour en savoir plus sur les serveurs racine, le site http://www.root-servers.org/ 
peut servir de point d'entree. 



Autres niveaux de domaines 

Au niveau inferieur, au sein du TLD, on trouve generalement les domaines qui 
correspondent aux universites, aux entreprises, etc. qui se sont connectees a I'ln- 
ternet. Elles ont choisi elles-memes leur nom de domaine, avec la contrainte que 
le nom complet doit etre unique : il ne peut y avoir qu'un domaine inria. fr, 
mais il peut y avoir ibm. com, ibm. fr, ibm.be, etc. Ces domaines peuvent etre 
eux-memes subdivises : ainsi 1'INRIA (Institut National de la Recherche en In- 
formatique et en Automatique) aura un domaine pour chacune de ses unites 
de recherche, Rocquencourt, Sophia-Antipolis, Grenoble, etc., qui s'appelleront 
sophia . inria . fr, rocq . inria . fr, grenoble . inria . fr, etc. 

Cette subdivision peut atteindre des niveaux plus ou moins fins ; les feuilles de 
l'arbre, au niveau le plus bas, correspondent aux nceuds du reseau, qui sont des 
stations de travail ou des serveurs. 

Une station sur le reseau peut avoir, outre son nom propre tel que nous venons 
de le voir, un ou plusieurs alias. Ainsi il est de coutume que le serveur Web d'un 
organisme soit connu sous le nom www . quelquechose . fr. Alors si le serveur Web 
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de 1'INRIA Sophia est heberge sur la machine asja, celle-ci recevra un alias, 
www.sophia.inria.fr. Les deux noms designeront la meme machine, ou plus 
exactement la meme interface sur le reseau. 

II serait possible d'imaginer une administration centralisee de l'arbre des do- 
maines, mais une fraction de seconde de reflexion revelerait l'immensite des dif- 
ficultes qui en resulteraient. Aussi cet arbre est-il decoupe en sous-arbres appeles 
zones, administrees separement. Ainsi en France lAssociation francaise pour le 
nommage Internet en cooperation (AFNIC) administre-t-elle tous les domaines 
dont le nom se termine par .fr : on dit que 1AFNIC a recu delegation pour la 
zone fr. De meme 1AFNIC deleguera 1' administration de la zone inria.fr a 
1'INRIA, qui lui-meme deleguera a une equipe de son unite de Sophia-Antipolis 
l'administration de sophia.inria.fr. 

Des lors qu'un organisme a recu delegation de l'administration d'une zone, il a 
le devoir de mettre en service des serveurs de noms pour cette zone, au moins 
deux, un primaire et un secondaire (les termes primaire et secondaire tendent a 
etre remplaces par maitre et esclave). Un serveur de noms est un logiciel que Ton 
peut interroger : si on lui fournit le nom d'une machine, il renvoie son adresse. 
Des qu'un nouvel ordinateur est mis en service dans une zone, l'administrateur du 
DNS de cette zone doit lui affecter un nom et une adresse et les ajouter a la base 
de donnees du serveur de noms primaire local. On dit que ce serveur de noms 
detient l'autorite sur la zone, il possede l'attribut Start of Authority (SOA). 

Un serveur primaire obtient les informations relatives a sa zone en accedant di- 
rectement aux bases de donnees locales. Un serveur secondaire (il peut y en avoir 
plusieurs, et il est recommande qu'ils soient physiquement distincts et redondants) 
obtient ces memes informations en les demandant au serveur primaire. L' opera- 
tion par laquelle un serveur secondaire recoit du serveur primaire l'information qui 
decrit la zone est nommee transfert de zone. La pratique courante est de demander 
a une personne sur un autre site d'administrer le serveur secondaire pour votre 
zone, a charge de revanche. 

Conversations entre serveurs de noms 

Done tout systeme installe dans la zone, lorsqu'il voudra traduire un nom en 
adresse, posera la question au serveur de la zone. Plus precisement, le logiciel 
d' application qui a besoin de 1' adresse (par exemple votre navigateur Web ou le 
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logiciel de transfert de courrier electronique) fait appel a un resolveur, qui va dia- 
loguer avec le serveur de noms qui lui aura ete designe. 

Si le nom a traduire designe une machine locale, le serveur de noms interrogera 
directement sa base. Sinon, il doit interroger un autre serveur de noms, qui, lui, 
connaitra la reponse. Comment trouver un serveur de noms en possession de la 
reponse a la question posee ? Chaque serveur connait (il en possede les adresses 
dans sa base de donnees) la liste des serveurs de noms racine, a ce jour au nombre 
de treize, disperses a la surface de la planete mais surtout aux Etats-Unis qui 
en abritent dix. Ces serveurs racine detiennent la liste des serveurs de noms qui 
detiennent l'autorite pour tous les domaines de second niveau (dans notre schema 
de la figure 6.14 page 141, la ligne ibm. com, inria.fr, etc.). 

Notre serveur va done interroger un serveur racine. Celui-ci repondra en don- 
nant l'adresse du serveur qui detient l'information autorisee relative au domaine 
de second niveau dont releve le nom de domaine que Ton cherche a resoudre ; ce 
troisieme serveur, interroge, donnera soit la reponse, soit l'adresse d'un quatrieme 
serveur plus proche du domaine concerne, etc. Le serveur interroge initialement 
peut transmettre la premiere reponse au resolveur, a charge pour ce dernier d'inter- 
roger le serveur de noms suivant, et ainsi de suite : une telle interrogation est dite 
iterative. Le resolveur peut au contraire demander au serveur de faire son affaire 
des interrogations des autres serveurs de noms impliques, et de ne transmettre que 
la reponse finale : une telle interrogation sera dite recursive. 

Toute cette subtile conversation entre serveurs sera bien sur ignoree de l'utilisa- 
teur. Les logiciels de courrier electronique ou de navigation sur le Web savent 
faire appel au resolveur. Lorsqu'un abonne individuel a l'lnternet allume son mo- 
dem, la plupart du temps le routeur de son FAI lui envoie, grace au protocole 
DHCP (Dynamic Host Configuration Protocol), en meme temps que son adresse 
IP dynamique, l'adresse du ou des serveurs de noms auxquels le resolveur pourra 
s'adresser. Mais il est utile de savoir a quoi correspond la case la plus perturbante 
du menu de configuration d'un acces au reseau : celle ou Ton demande l'adresse du 
serveur DNS. Heureusement les methodes modernes de gestion de reseau evitent 
presque toujours d' avoir a la remplir. 
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Securite du DNS 

Le DNS, on l'aura compris, est un element constitutif primordial de l'lnternet, 
et de ce fait la surete de son fonctionnement doit etre maintenue a tout prix. 
Nous n'envisagerons pas ici les questions qui se posent au niveau des serveurs 
racine et de l'infrastructure au cceur du reseau, mais plutot celles que doit se poser 
l'administrateur d'un reseau local d'entreprise. 

Comme c'est le DNS qui resout pratiquement chaque demande d'acces a l'ln- 
ternet ou au reseau local en donnant l'adresse qui correspond au nom du service 
demande, s'il ne fonctionne plus, l'lnternet et le reseau sont inaccessibles. Si les 
serveurs legitimes sont remplaces par des serveurs frauduleux, ou si les serveurs 
legitimes sont frauduleusement alimentes en donnees falsifiees, il sera possible de 
detourner le trafic au profit des fraudeurs, par exemple pour se procurer des in- 
formations confidentielles ou pour commettre des escroqueries. II existe plusieurs 
methodes de corruption du DNS, contre lesquelles il importe de se premunir. 

Espace public et espace prive 

Le paradoxe du DNS est qu'il doit rester sur tout en etant ouvert virtuellement 
au monde entier. Une des premieres precautions que prendra un administrateur 
de reseau avise sera de separer d'une part les informations relatives a son reseau 
qui sont destinees a etre visibles du monde entier, par exemple l'adresse du serveur 
Web public de l'entreprise et celle de sa passerelle de messagerie, d' autre part les 
informations qui n'ont aucune raison de sortir du reseau local, comme les adresses 
des serveurs de fichiers et des imprimantes. 

Dans un article consacre a la protection du DNS [24] Christophe Brocas et Jean- 
Michel Farin analysent les risques lies a son usage et proposent quelques principes 
pour une solution. Les risques se rangent dans les categories suivantes : 

• fuites d'information par detournement du protocole (ce que Ton appelle les 
canaux caches) ; 

• obtention indesirable d'informations sur le reseau de l'entreprise au moyen 
de transferts de zone illegitimes ; 

• corruption de la resolution de noms, avec pour consequence le detourne- 
ment d'un trafic legitime vers des destinations mises en place a des fins 
malintentionnees ; 
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• denis de service declenches par la corruption des bases de donnees des ser- 
veurs DNS. 
Afin de se premunir contre ces risques, les auteurs proposent un certain nombre 
de mesures qui exploitent les fonctions introduites par les versions relativement 
recentes des logiciels de gestion du DNS, notamment Bind. Ces mesures sont de- 
crites dans le contexte d'un reseau interne d'entreprise, relie a l'lnternet au travers 
d'un pare-feu, et dote de deux DMZ (cf. page 123 pour l'explication) : une DMZ 
externe ou sont installes les serveurs de l'entreprise qui doivent etre « vus » depuis 
l'lnternet, une DMZ a usage interne, ou resident les serveurs qui doivent « voir » 
l'lnternet. Cette architecture est resumee par la figure 6.15. 



Figure 6.15 
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La premiere mesure de protection consiste a interdire aux machines du reseau in- 
terne tout acces direct a l'lnternet : les acces aux Web sont relayes par un 
mandataire HTTP, tout le courrier electronique emis doit imperativement 
etre relaye par la passerelle de messagerie de l'entreprise. 
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La seconde mesure de protection consiste a avoir deux serveurs DNS maitres, un 
qui fait autorite (et de ce fait nomme Start of Authority, SOA) vis-a-vis du 
monde exterieur, l'autre SOA a usage interne. Le serveur a usage externe 
divulgue une vue du reseau de l'entreprise reduite aux seules machines qui 
doivent etre visibles de l'lnternet. Le serveur a usage interne detient les 
informations completes sur le reseau interne. 

ha troisieme mesure de securite interdit toute interrogation directe du serveur 
SOA interne : les stations ne peuvent interroger qu'un serveur cache, es- 
clave du precedent. 

La quatrieme mesure est la suivante : lorsque le serveur cache interne veut resoudre 
un nom de domaine inconnu, c'est-a-dire qui correspond a une adresse du 
monde exterieur, sur l'lnternet, il transmet la requete a un serveur cache 
en DMZ externe. 

ha cinquieme mesure indique que les serveurs SOA ne doivent repondre que pour 
des requetes qui concernent un ou plusieurs domaines propres a l'entre- 
prise, ils n'effectuent done aucune interrogation recursive. 

Des mesures complementaires visent a empecher les utilisateurs de postes de travail 
de contourner les mesures de securite en reecrivant de facon creative leur 
fichier hosts ; les methodes d'attribution d'adresses qui exigent la modi- 
fication dynamique du DNS (DHCP, controleur de domaine Windows) 
demandent des precautions supplementaires, qui pour bien faire devraient 
aller jusqu'a l'authentification des transactions. 

On mesure, par le resume succinct qui est donne ici d'un article fort detaille, que 

l'administration sure du DNS n'est pas une affaire facile. 



Traduction d'adresses (NAT) 

Le systeme de traduction d'adresses NAT (Network Address Translation) est ap- 
paru en 1994 dans la RFC 1631 [46] (remplace maintenant par le 3022 [105]), ini- 
tialement pour permettre la communication entre l'lnternet et des reseaux prives 
contenant des adresses IP non conformes au plan d'adressage de l'lnternet, et il a 
ete ensuite tres largement utilise pour pallier le deficit d'adresses IP engendre par 



Notons que l'anglais translation se traduit ici en francais par traduction, translation d'adresse ne 
veut rien dire. 
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l'etroitesse de la plage d'adresses de la version 4 du protocole. II est devenu de ce 
fait a la fois une solution et un probleme de securite des reseaux. 

Le principe du standard telephonique d'hotel 

Le principe de la traduction d'adresses est le suivant : chaque nceud de l'lnternet 
doit posseder une adresse IP pour mettre en ceuvre le protocole TCP/IP, et cette 
adresse doit etre unique, comme pour les numeros de telephone, sinon il serait 
impossible d'acheminer correctement les communications. 



Figure 6.16 
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Mais, pour poursuivre la comparaison avec le telephone, dans certains hotels par 
exemple, seul le standard a un numero de telephone unique, et le poste de chaque 
chambre a un numero local, a usage strictement interne, et qui peut tres bien etre 
le meme que celui d'une chambre dans un autre hotel : cela n'a aucune conse- 
quence facheuse car le numero de la chambre n'est pas visible de l'exterieur ; ceci 
permet parfaitement a l'occupant de la chambre d'appeler l'exterieur en donnant 
un code particulier (« composer le numero pour avoir l'exterieur »), et de recevoir 
des communications passant par le standard qui effectue la commutation vers la 
ligne de la chambre. 
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Adresses non routables 

Le systeme NAT repose sur un principe analogue : dans un reseau local, seuls 
les nceuds qui ont vocation a abriter des serveurs vus de tout l'lnternet, comme 
le serveur Web de l'entreprise ou sa passerelle de messagerie, doivent recevoir des 
adresses reconnues universellement, et done uniques et conformes au plan d'adres- 
sage de l'lnternet. Les postes de travail ordinaires peuvent recevoir des adresses 
purement locales, qui ne sont pas routables, e'est-a-dire qu'un paquet a destina- 
tion d'une telle adresse peut circuler sur le reseau local et atteindre sa destina- 
tion, mais ne peut pas franchir un routeur, parce que ces classes d'adresses sont 
explicitement designees pour que les routeurs les oublient. Sont dites non rou- 
tables toutes les adresses appartenant aux blocs d'adresses definis a cet effet par la 
RFC 1918 [90] : 192.168.0.0 a 192.168.255.255 (prefixe 192.168/16), 172.16.0.0 
a 172.31.255.255 (prefixe 172.16/12) et 10.0.0.0 a 10.255.255.255(prefixe 10/8). 

Acceder a l'lnternet sans adresse routable 

Si la gestion des adresses non routables s'arretait la, ces malheureux ordinateurs 
dotes d'adresses de seconde zone ne pourraient jamais naviguer sur l'lnternet : en 
effet, une communication aussi simple que l'acces a un serveur Web demande que 
les paquets comportent une adresse source et une adresse destination valides, ne 
serait-ce que pour que le serveur puisse renvoyer au client Web le contenu de la 
page qu'il a voulu consulter. D'ailleurs dans un reseau ferme sans connexion a l'ln- 
ternet les possibilites de communication sont limitees au reseau local, et e'est pour 
de tels reseaux qu'avaient ete creees a l'origine les classes d'adresses non routables, 
que NAT a ensuite astucieusement detournees de leur destination, si j'ose dire. 

Sur un reseau connecte a l'lnternet qui ne contient que des postes de travail do- 
tes d'adresses non routables, il y a au moins un nceud qui possede une adresse 
routable, e'est le routeur d'entree du reseau, puisque justement il est connecte. 
Alors il y a au moins un moyen de faire communiquer un poste du reseau local 
avec l'exterieur : il faut pour cela que le routeur soit dote de la capacite de traduc- 
tion d'adresses ; ainsi il pourra jouer vis-a-vis des noeuds du reseau local le meme 
role que le standard de l'hotel vis-a-vis des postes telephoniques des chambres, en 
« passant les communications ». Le principe de NAT est de remplacer une adresse 
interne non routable par une adresse routable. 
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Realisations 

La facon la plus simple pour realiser la traduction d'adresses est la methode sta- 
tique : a chaque adresse interne non routable on fait correspondre, bijectivement, 
une adresse routable qui la remplace. Le routeur contient la table de correspon- 
dance et fait la traduction, sans autre forme de proces. 



Figure 6.17 

Reseau avec NAT : les adresses des 

notes sont des adresses reutilisables. 

Le routeur d'entree fait la traduction 

d'adresses. On notera que la 

modification du plan d'adressage 

alloue desormais un reseau /16 par 

sous-reseau, s'aff ranch issant de la 

limite des 254 adresses possibles 

avec un /24. 



Sous-nesaaux 



HO. 101/16 



Routeur NAT 



255 adresses 




"^ 



10.102/16 



110.103/16 



NAT (!« 10/3 vera 
193.48. 100/24 et 
193.43.101/21 



10.104/16 



source ; Wikipedia 



La traduction d'adresses statique est simple, mais dans l'univers de la fin des an- 
nees 1990 la penurie des adresses IP (la version 4 du protocole IP comporte des 
adresses sur 32 chiffres binaires, ce qui autorise un maximum de 4 294 967 295 
adresses uniques, en fait un peu moins compte tenu des contraintes sur la structure 
de ces adresses, c'est-a-dire nettement moins que d'etres humains a la surface de 
la Terre) a conduit vers d'autres realisations, notamment la traduction d'adresses 
dite dynamique, et plus particulierement vers une de ces methodes dynamiques, 
dite IP masquerading (masquage d' adresse IP), aujourd'hui predominante et que 
nous allons decrire brievement (pour plus de details et de references, cf. Wikipe- 
dia ). Avec NAT et le masquage d' adresse IP, seul le routeur possede une adresse 
routable, toutes les communications des nceuds internes sont vues de l'exterieur 
comme issues de cette adresse ou destinees a elle, et le tri est fait par le routeur au 
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moyen d'une manipulation des numeros de port, de facon tout a fait analogue au 
travail du standardiste de l'hotel que nous evoquions ci-dessus. 

Cette fa9on de recevoir a une adresse unique les paquets destines en realite a 
plusieurs machines, et de regrouper comme s'ils provenaient d'une adresse unique 
les paquets emis par ces diverses machines avant de les lancer dans l'lnternet, 
s'appelle le multiplexage. A l'inverse, lorsque le routeur trie les les paquets recus 
de l'lnternet a son adresse pour les distribuer a leurs destinataires reels, il effectue 
un demultlplexage. Plus generalement, on nomme multiplexage le fait d'acheminer 
plusieurs communications sur un meme support physique ou logique. 



Figure 6.18 

Reseau avec NAT et masquage 

d'adresse IP : seule I'adresse de 

I'interface externe du routeur est 

utilisee; le 

multiplexage/demultiplexage des 

adresses IP internes se fait grace aux 

numeros de ports (modifies par le 

routeur). 



Sous-rfeseaux 
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1 sdrssse 




10.102/16 



^10. 103/1 6 



Traduction (NAT) de 10/fi 
vers I'adresse du routeur 



.10.104/16 



source : Wikipedis 



On a vu (encadre page 121) qu'une connexion TCP etait identifiee par le qua- 
druplet [adresse IP de destination, numero deport de destination, adresse IP d'orlglne, 
nume'ro de port d'orlglne]. En general, dans le paquet qui initie la connexion, le 
numero de port de destination obeit a une convention (par exemple 80 pour l'ac- 
ces a un serveur Web), et le numero de port d'origine est quelconque, superieur 
a 1 024, et choisi de facon a former un couple unique avec I'adresse d'origine. 
Lorsque le routeur recevra un tel paquet, ou I'adresse d'origine sera une adresse 
NAT non routable, il remplacera cette adresse par sa propre adresse, eventuelle- 
ment il remplacera le numero de port d'origine par un autre, s'il a deja utilise ce 
couple {adresse, numero deport] pour une autre traduction, et il conservera dans une 
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table la correspondance entre ce couple [adresse, port] envoye sur l'lnternet et celui 
du poste emetteur, ce qui permettra, au prix done d'une traduction, d'acheminer 
les paquets dans les deux sens. 



Sur I'unicite des sockets 

II est possible, lors de I'initiation d'une connexion reseau, de determiner un tel couple 
{adresse,port}, nomme socket. Celui-ci est dote de la propriete d'unicite, car ce n'est 
pas le logiciel client qui etablit la connexion, mais le noyau du systeme d 'exploitation, 
du moins dans les systemes serieux (certains systemes rudimentaires d'un passe recent 
ont pu implanter tout ou partie de la pile reseau dans I'espace utilisateur, ce qui ouvrait 
la voie aux pannes et aux piratages). 



Une solution, quelques problemes 

A premiere vue, NAT est une solution de securite : avec un tel precede et le mas- 
quage d'adresses IP, les adresses des nceuds du reseau interne, qui sont en general 
les postes de travail des utilisateurs, ne sont pas visibles de l'exterieur, ces nceuds 
sont done hors d'atteinte de connexions eventuellement etablies par des malfai- 
sants, et de fait il n'y a en general aucune raison valable pour qu'une connexion soit 
etablie depuis l'exterieur vers un poste de travail individuel ; si tel devait etre le cas, 
cela devrait etre fait selon une methode de traduction explicite, par exemple pour 
permettre la prise de controle a distance dans un contexte d'assistance technique 
ou d' administration du systeme (mise a jour d'antivirus, etc.). 

Cette protection du reseau prive par NAT est reelle et elle ne doit pas etre sous- 
estimee. II convient cependant d' avoir conscience du fait que, avec la version 6 
du protocole TCP/IP, NAT va probablement disparaitre, au moins sous sa forme 
actuelle, et avec lui les politiques de securite qui reposeraient trop fortement sur 
ses caracteristiques contingentes. 

De toute facon, NAT n'est pas une solution tres orthodoxe du point de vue de 

l'architecture du reseau, et peut meme apparaitre comme un probleme de securite : 

1. NAT viole le principe d'independance des couches du protocole, en effet le 

routage dans le reseau (IP, couche 3) au travers d'un routeur NAT utilise et 

modifie des informations contenues dans les en-tete de la couche transport 

(TCP ou UDP, couche 4), en l'occurrence les numeros de port ; 
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2. NAT viole le principe de connectivite de bout en bout, fondamental dans IP, 
qui signifie que toute l'« intelligence » du reseau doit etre concentree dans 
les nceuds terminaux, et que le reseau lui-meme doit assurer un transport 
neutre ; avec NAT le routeur qui assure la traduction excede son role cano- 
nique ; 

3. le routeur NAT conserve une trace des echanges sur le reseau, ce qui revient 
a dire que tous les echanges sont effectues en mode connecte, or IP admet 
des protocoles non connectes, tel UDP, qui subit ainsi une transformation 
insidieuse en protocole connecte ; 

4. les en-tete TCP et UDP comportent des numeros de port, mais aucune loi 
n'interdit d'utiliser au-dessus de la couche IP d'autres protocoles de trans- 
port, qui pourraient ne pas reposer sur le concept de port, et qui de ce fait 
ne pourraient pas franchir un routeur NAT. 



Protocoles connectes et non connectes 

Dire qu'UDP est un protocole non connecte signifie qu'il emet chacun de ses paquets 
sans conserver a son sujet d'information d'etat : aussitot emis, aussitot oublie. A I'inverse, 
TCP est un protocole connecte, ce qui signifie qu'il tient un journal des paquets emis 
ou recus, de facon notamment a verifier qu'ils sont dans le bon ordre et tous bien recus, 
ce dont UDP n'a cure. 



NAT pose des problemes aux protocoles qui transportent des adresses IP et des 
numeros de port dans la partie « donnees » de leurs paquets. De tels protocoles sont 
dits « sales », parce qu'ils ne respectent pas le modele d'abstraction en couches, et 
qu'ils transportent de l'information de niveau protocolaire (adresses) sous forme 
de donnees quelconques. Le type meme du protocole sale est H323, utilise pour 
la telephonie sur IP et la visioconference. Pour franchir un routeur NAT, un tel 
protocole doit etre implements de facon que le routeur puisse inspecter le contenu 
des paquets et traduire les adresses qui s'y trouvent, puis recalculer la somme de 
controle et la longueur du paquet. 

NAT pose aussi des problemes a IPSec, il est en fait rigoureusement incompatible 
avec le protocole AH d'IPSec car il modifie les adresses et les numeros de ports. 

NAT modifie done les paquets, ce qui, du moins en IPv4, oblige a recalculer la 
somme de controle qui y figure (IPv6 supprime cette contrainte). 
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Dans un reseau qui met en oeuvre NAT, le masquage d'adresse IP et les adresses 
non routables de la RFC 1918 (cf. la figure 6.18), ce qui est tres repandu, notam- 
ment avec les petits routeurs ADSL que chacun installe maintenant a son domi- 
cile, les adresses sont generalement affectees de facon dynamique par un proto- 
cole concu a cet effet, DHCP (Dynamic Host Configuration Protocol). Ce protocole 
n'est pas exempt de critiques du point de vue de la securite, notamment parce qu'il 
emet des diffusions generates a la cantonade sans que ce soit toujours necessaire, 
et aussi parce qu'il n'est pas protege contre les usurpations d'identite : je monte 
un serveur DHCP pirate, j'alloue aux clients nai'fs des adresses que je controle, je 
fais croire au service de noms local que les communications a destination de ces 
adresses doivent m'etre envoyees, et ainsi j'intercepte des communications qui ne 
me sont pas destinees. 



Promiscuite sur un reseau local 

Lorsqu'il est question de securite du reseau, le plus souvent on pense a la pro- 
tection contre les attaques en provenance de l'lnternet. Or negliger les attaques 
en provenance de l'interieur par le reseau local (Local Area Network, LAN) serait 
s'exposer a des menaces qui deviennent de jour en jour plus reelles avec le deve- 
loppement du nomadisme et des reseaux sans fil, et qui d'ailleurs existaient de tout 
temps. De ce point de vue nous pouvons dire que les reseaux sans fil ne produisent 
aucune menace qui n'ait deja existe, ils ne font que susciter la prise de conscience 
des risques qui en resultent, et bien sur en accroitre l'intensite. 

Nous allons le voir, il regne sur un reseau local une veritable promiscuite , au sens 
ou un utilisateur mal intentionne dispose de certains moyens d'acces direct aux 
communications qui ne lui sont pas destinees. 

Rappel sur les reseaux locaux 

On nomme habituellement reseau local une infrastructure de couche 2 (liaison de 
donnees) qui dessert un batiment ou un campus. Une telle infrastructure comporte 
en general, outre le cablage, des repeteurs, des commutateurs et des bornes d'acces 
pour reseaux sans fil, mais pas de routeur, hormis celui qui relie le reseau local a 
l'lnternet. C'est le schema classique de l'equipement d'un site d'entreprise. 
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Nous n'evoquerons ici que les reseaux locaux definis par la norme IEEE 802.3, 
plus communement nommes Ethernet, puisque les autres types de reseaux definis 
par ce groupe de normes ne sont plus guere utilises. Disons tout de suite que les 
reseaux sans fil 802.11 (dits Wi-Fi) reposent par bien des points sur les memes 
principes techniques que 802.3, notamment pour leurs caracteristiques significa- 
tives du point de vue de la securite. 

La norme 802.3 decrit des reseaux ou toutes les stations partagent un support 
physique unique ; a l'origine il s'agissait d'un cable coaxial sur lequel toutes les sta- 
tions etaient branchees en emission comme en ecoute (cablage dit 10Base5), puis 
apparurent des repeteurs (hubs) auxquels les stations etaient reliees par des paires 
telephoniques torsadees (cablage dit lOBaseT), mais toutes les donnees circulant 
sur le reseau atteignaient toutes les stations. Aujourd'hui la plupart des reseaux 
utilisent un cablage 100BaseT ou 1 OOOBaseT en etoile autour de commutateurs 
(switches), qui sont des repeteurs « intelligents » capables d'« apprendre » sur quelle 
branche de 1' etoile se trouve telle station, ce qui leur permet d'etablir des liaisons 
point a point et ameliore ainsi considerablement la securite des communications. 
On peut dire que les reseaux 802.11 font revivre la premiere epoque d'Ethernet 
802.3, ou toutes les stations accedaient au meme support physique et pouvaient, 
de ce fait, recevoir toutes les donnees echangees sur ce support. 

Une autre consequence du partage du support physique par toutes les stations, 
c'est que deux stations peuvent essayer d'emettre simultanement, avec pour resul- 
tat ce que Ton appelle une collision, qui provoquera le brouillage des communica- 
tions. Pour resoudre ce probleme, les stations d'un reseau 802.3 mettent en ceuvre 
le protocole dit Carrier Sense Multiple Access with Collision Detection (CSMA-CD), 
ou acces multiple par ecoute de la porteuse, avec detection de collision. De leur 
cote, les reseaux 802.11 ont recours au protocole Carrier Sense Multiple Access with 
Collision Avoidance (CSMA-CA), analogue a CSMA-CD, mais avec evitement 
des collisions, parce que sur un reseau sans fil les collisions ne peuvent pas tou- 
jours etre detectees, du fait que chaque station ne « voit » pas forcement toutes 
les autres. La description de ces protocoles excede le cadre du present expose ; on 
pourra plus se reporter a un expose general [17], a une presentation technique de- 
taillee des reseaux 802.11 [11], ou a un ouvrage de reference complet sur les reseaux 
informatiques [108]. 
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VOCABULAIRE La porteuse 

Les systemes de transmission electro-magnetiques, avec ou sans fil, procedent souvent 
par I'emission d'une onde sur une frequence constante, le signal etant realise par une 
modification de cette frequence, ou sa modulation. L'onde de frequence constante est 
appelee la porteuse (carrier en anglais). 



Reseaux locaux virtuels (VLAN) 

Les reseaux locaux virtuels (Virtual LAN, VLAN) sont apparus en 1995, avec les 
commutateurs 802.3. II s'agit done d'un dispositif de couche 2 (liaison de don- 
nees), en pratique Ethernet. L'idee est la suivante : il peut etre tentant, notamment 
pour des raisons de securite, de regrouper les stations d'un groupe de personnes 
qui travaillent dans la meme equipe sur un reseau local qui leur sera reserve, se- 
pare des reseaux des autres equipes. Mais si les membres des differentes equipes 
sont disperses dans differents batiments et melanges avec les autres groupes, adap- 
ter le cablage physique a l'organisation peut se reveler couteux et malcommode, 
d'autant plus que la repartition geographique des membres de chaque equipe peut 
changer. On a done recherche des moyens de creer, sur une infrastructure parfois 
complexe, des reseaux locaux virtuels, qui isoleraient logiquement les communica- 
tions propres a un groupe de stations, lequel partagerait tout ou partie d'un meme 
support physique avec d'autres groupes. En somme il s'agit de faire au niveau de 
la couche 2 (liaison de donnees) ce que les VPN (voir page 114) font au niveau de 
la couche 3 (reseau). 

Apres quelques errements, les VLAN ont ete normalises en 1998 par la norme 
802.10^ qui a necessite une modification du format de la trame Ethernet afin de 
lui ajouter 4 octets, dont 12 bits constituent une etiquette (tag) destinee a identi- 
fier les trames qui appartiennent a tel ou tel reseau local virtuel. Les commutateurs 
modernes sont programmes pour tenir compte de ces etiquettes, et pour n'ache- 
miner les trames que vers des destinations qui appartiennent au VLAN designe 
par leur etiquette. 

Ce sont les commutateurs qui jouent le role principal dans la gestion des VLAN : 
le premier commutateur que rencontre une trame lui affecte une etiquette, qui 
determinera son VLAN, et, partant, son destin. 
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Un lien physique partage par plusieurs VLAN est nomme trunk dans le jargon des 
VLAN, ou channel dans la terminologie du constructeur Cisco. Cette divergence 
terminologique illustre un inconvenient des VLAN : il s'agit d'une technologie 
implantee dans les methodes de configuration des commutateurs propres a chaque 
constructeur, et de ce fait difficile a exposer en concepts clairs. 

II est de bonne politique que le routeur de sortie du reseau vers l'lnternet appar- 
tienne a tous les VLAN, ou du moins a tous ceux dont les stations doivent pouvoir 
atteindre l'lnternet. Exclure ce routeur d'un VLAN est un bon moyen d'interdire 
aux utilisateurs de ce VLAN de naviguer sur l'lnternet. 

Les VLAN peuvent etre utiles en termes de securite, par exemple en limitant la 
promiscuite sur un reseau local. Une application assez repandue et commode de ce 
precede consiste, sur un campus ou au sein d'une entreprise, a creer pour accueillir 
les ordinateurs portables des visiteurs exterieurs un VLAN ou ils seront confines, 
ce qui evitera qu'ils puissent acceder aux serveurs internes, ou qu'ils repandent dans 
l'entreprise les virus dont ils pourraient etre infectes, tout en ayant la possibility 
d'acceder a l'lnternet ou a toute autre ressource qui leur aura ete autorisee. 

Securite du reseau de campus : VLAN ou VPN ? 

Nous venons de voir que les VLAN permettaient d'ameliorer la securite d'un re- 
seau local en cloisonnant le trafic reseau par la reservation a chaque equipe ou 
entite fonctionnelle d'un reseau prive virtuel, et en limitant ainsi la promiscuite 
des donnees. 

Une autre facon de segmenter le reseau est de recourir a des routeurs. Nous avons 
vu ci-dessus (page 114) que les reseaux prives virtuels (VPN) permettaient d'eta- 
blir des tunnels chiffres entre deux stations quelconques sur l'lnternet. 

Comment choisir entre ces deux types de solution ? 

Les VLAN, par definition, ne peuvent etre deployes qu'au sein d'un meme reseau 
local. Dans ce role ils sont tres commodes : une fois les commutateurs configures, 
tout est automatique. Les commutateurs sont plus faciles a configurer que les rou- 
teurs, ils sont aussi moins chers et plus rapides. Les reseaux commutes demandent 
moins de competences humaines et moins d'investissements materiels que les re- 
seaux routes. Leur inconvenient principal, malgre la promulgation de la norme 
802. lQi est de reposer le plus souvent sur des recettes de configuration propres 
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a chaque constructeur, qui violent plus ou moins ouvertement le principe de l'in- 
dependance protocolaire : les VLAN melangent des fonctions qui relevent de la 
couche 2 avec des fonctions de couche 3. Cette confusion n'a pas que des incon- 
venients theoriques, elle peut conduire a l'edification d'un reseau a la topologie 
confuse, dont revolution ulterieure et la maintenance seront difficiles. 

Le routage est une technique qui repose sur des bases theoriques et conceptuelles 
solides et acceptees par tous. En fait, il est la pierre angulaire de l'lnternet. Les 
protocoles prives crees naguere par certains constructeurs cedent de plus en plus 
souvent la place aux protocoles normalises et documented, tel OSPF (Open Shor- 
test Path First) . Un reseau prive virtuel peut s'etendre, virtuellement done, a l'en- 
semble de la planete, mais il est aussi tout a fait possible de construire pour un 
cout marginal un minuscule VPN entre mon ordinateur au bureau, celui de mon 
domicile et mon ordinateur portable connecte a un point d'acces sans fil. 



En pratique 

Nous pensons qu'il est tres interessant, sur un campus, de creer un VLAN pour accueillir 
les ordinateurs portables des visiteurs auxquels on ne veut pas accorder de droits, mais qui 
doivent quand meme travailler et acceder a l'lnternet, ne serait-ce que pour communiquer 
avec leurs bases. Pour tout autre usage, il faut bien se demander si le VLAN ne serait 
pas une solution paresseuse a un probleme pour lequel le routage serait plus satisfaisant. 



Reseaux sans fil et securite 

Les reseaux sans fil connaissent un engouement important, et les problemes de 
securite qu'ils soulevent ont fait l'objet d'une note de synthese du Centre d'ex- 
pertise gouvernemental de reponse et de traitement des attaques informatiques 
(CERTA) 10 . Le cadre reglementaire de leur mise en oeuvre est resume par un 
texte de lAutorite de regulation des communications electroniques et des postes 
(ARCEP) . Mais commencons par delimiter ce dont il s'agit. 



Open Shortest Path First (OSPF) est un protocole de routage base sur un algorithme de recherche 

de parcours dans un graphe du a Dijkstra. 
10 http: //www. certa.ssi.gouv.fr/site/CERTA-2892-REC-002/ 
n http: //www. art- telecom.fr/dossiers/rlan/schema-rlan. htm 
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Types de reseaux sans fil 

Les reseaux sans fil appartiennent a plusieurs categories, regies par des normes 
specifiques : 

• les reseaux dits Wireless Local Area Network (WLAN) ou Wi-Fi obeissent 
aux normes de la famille IEEE 802.11, dont la premiere edition date de 
1997; ils sont destines a faire communiquer des equipements separes par 
une distance de l'ordre de quelques dizaines de metres, par exemple dans 
un immeuble ; les dispositifs d'emission et de reception de ces appareils ont 
une puissance maximale de 100 mW (a comparer avec celle d'un telephone 
portable GSM, qui est de 1 W) ; 

• les reseaux dits Wireless Personal Area Network (WPAN) ou Bluetooth 
obeissent a la norme IEEE 802.15.1 ; ils permettent des communications 
entre des appareils distants de quelques metres, par exemple un telephone 
et son oreillette sans fil ; les promoteurs de cette norme l'ont deja deployee 
pour les assistants personnels (PDA) et ils envisagent des debouches sur 
le marche du jouet et des consoles de jeu ; la puissance des emetteurs est 
plus faible que pour les appareils 802.11, en general 1 mW (il existe bien 
une option de la norme qui permet une puissance de 100 mW, mais elle 
n'est pratiquement pas utilisee), et de ce fait la consommation electrique 
est moindre ; la norme IEEE 802.15.3 (Bluetooth2) est une evolution de la 
norme Bluetooth avec des debits plus rapides et des mecanismes de securite 
ameliores par rapport a 802.15.1 ; 

• les reseaux dits Wireless Metropolitan Area Network (WMAN) obeissent a la 
norme 802.16, plus connue sous le nom de WiMax, ou de Boucle locale radio 
(BLR) ; ils sont capables de relier des equipements distants de quelques 
kilometres, par exemple pour se substituer aux liaisons ADSL dans les zones 
rurales a faible densite ; 

• les reseaux dits Wireless Wide Area Network (WWAN) utilisent les systemes 
de telephonie sans fil tels que GSM (Global System for Mobile Communica- 
tion), GPRS (General Packet Radio Service) ou UMTS (Universal Mobile Te- 
lecommunication System) comme couche de liaison de donnees pour consti- 
tuer une infrastructure d'acces a l'lnternet. 
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Nous nous interesserons surtout ici aux reseaux 802.11, dont on trouvera une 
description technique detaillee sur le site des Journees reseau de l'enseignement 
superieur QRES) 2005 u . 

Vulnerabilites des reseaux sans fil 802.11 

Tout d'abord, les reseaux 802.11 sont affectes de toutes les vulnerabilites qui 
concernent les reseaux 802.3. En effet, capter les signaux hertziens d'un reseau 
802.11 procure les memes moyens d'observation et d' action que l'acces en mode 
promiscuous au support physique d'un reseau local cable. Simplement, proceder a 
ce type d'intrusion est plus facile et plus discret. Le remplacement des repeteurs 
par des commutateurs avait diminue la vulnerability des reseaux cables en etablis- 
sant des liaisons point a point : le support hertzien ramene le candidat a l'intrusion 
au temps des repeteurs, ou le mode promiscuous donnait acces a toutes les trames 
de toutes les stations. 

Vulnerabilites 802.11 specif iques 

Le Centre d' expertise gouvernemental de reponse et de traitement des attaques 
informatiques (CERT A) enumere trois types de vulnerabilites propres aux reseaux 
sans fil : 

1. la diffusion de l'information facilitant l'interception passive a distance ; 

2. la sensibilite au brouillage diminuant la disponibilite du reseau ; 

3. les configurations non securisees par defaut des nouveaux equipements, fa- 
cilitant les attaques. 

Les articles http://tinyurl.com/hkb76 et http://tinyurl.com/nwyu7 si- 
gnalent en outre la possibilite de prendre a distance le controle d'un ordinateur 
portable en exploitant les failles de leurs pilotes Wi-Fi. 

Protection des points d'acces 

Pour la securite des points d'acces, les mesures suivantes sont preconisees : 

1. changer les mots de passe par defaut (notamment administrateur) par des 
mots de passe plus forts ; 

2. desactiver les services disponibles non utilises (SNMP, Telnet...) ; 



12 http : //20O5 . jres . org/tutoriel/Reseaux_sans_f il . livre . pdf 
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3. regler la puissance d'emission du point d'acces au minimum necessaire ; 

4. changer l'identifiant de reseau (SSID) par defaut ; 

5. mettre a jour le firmware de son point d'acces des que le constructeur pro- 
pose une mise a jour. 

Protection des communications par chiffrement 

La facilite d'ecoute des communications hertziennes suggere fortement de chiffrer 
le trafic 802.11. La norme propose une methode de chiffrement, Wired Equiva- 
lent Privacy (WEP), qui est malheureusement « inapte a offrir un niveau de secu- 
rite suffisant pour la plupart des utilisateurs. En effet, il est possible en ecoutant 
une quantite suffisante de trafic (cela peut prendre plusieurs heures selon l'acti- 
vite du reseau), de casser une cle WEP en quelques secondes. Une documentation 
abondante sur le sujet est disponible sur l'lnternet. Plusieurs outils d'attaque pu- 
blics permettent de faire cela facilement, sans materiel specialise, dans un temps 
raisonnable », nous ditle document du CERTA . 

En juin 2004 1'IEEE a ratifie la norme 802. Hi, qui comporte de nouveaux proto- 
coles de securite, plus robustes : 

1. Wi-Fi Protected Access (WPA), qui propose deux modes de fonctionnement : 
WPA-PSK Mode repose sur un secret partage, cependant que WPA Enter- 
prise Mode utilise le protocole d'authentification RADIUS ; 

2. dans les deux cas, le chiffrement est effectue selon i'algorithme Advan- 
ced Encryption Standard — FIPS-197 (AES), deja mentionne a la page 72 
comme un protocole symetrique robuste. 



Le fonctionnement du protocole RADIUS 

Le protocole RADIUS (Remote Authentication Dial In User Service) decrit un principe 
d'authentification tres general : un individu souhaite acceder a un service en reseau pour 
lequel il lui faut s'authentifier ; pour ce faire il va envoyer ses donnees d'authentification 
(couple identifiant-mot de passe, ou certificat electronique, par exemple) a un serveur 
RADIUS, qui lui-meme etablira une transaction avec le veritable serveur d'authentifi- 
cation (annuaire electronique, ou systeme de mot de passe d'un serveur Unix...). Le 
protocole RADIUS permet ainsi d'utiliser des systemes d'authentification preexistants 
pour de nouvelles applications en reseau, sans avoir a modifier ni le serveur ni I'applica- 
tion. 



13 http : //www . certa . ssi . gouv . f r/site/CERTA- 20Q2 - REC- 002/ 
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Authentification des acces au reseau 

La norme 802.11 definit une methode d'authentification par defi-reponse, dite 
Shared Key Authentication : 

1. le mobile qui veut acceder au reseau envoie au systeme de controle d'ac- 
ces du point d'acces (qui peut etre un routeur ou une borne Wi-Fi) une 
demande d'authentification ; 

2. le point d'acces envoie un texte aleatoire au mobile ; 

3. le mobile chiffre ce texte avec sa cle WEP et envoie le texte chiffre au point 
d'acces ; 

4. le point d'acces dechiffre le message avec la cle WEP censee correspondre a 
celle du mobile et le compare au texte original : s'ils coincident, c'est que le 
mobile et le point d'acces partagent la meme cle WEP, et l'acces est accorde. 

II est egalement possible de restreindre l'acces aux adresses MAC autorisees ; 
l'adresse MAC (comme Medium Access Control) d'un equipement connecte a un 
reseau local, avec ou sans fil, est son adresse de couche 2 ; en general elle est en- 
registree « en dur » dans la carte reseau, ce pourquoi on l'appelle souvent adresse 
physique, ce qui ne veut pas dire pour autant quelle soit infalsiflable, mais dans 
des conditions normales elle n'est jamais modifiee. Ces deux methodes sont consi- 
derees comme insuffisantes, parce qu'il existe des methodes de contournement 
faciles a mettre en ceuvre. Aussi est-il conseille d'employer une methode plus ro- 
buste, et susceptible d'ailleurs d'etre utilisee egalement pour un reseau cable 802.3 : 
celle definie par la norme IEEE 802. lx. 

La norme IEEE 802. IX definit une methode generate d'authentification des acces 
a un point d'entree du reseau, qu'il s'agisse d'une prise d'un commutateur filaire ou 
d'un point d'acces sans fil. Le protocole d'authentification proprement dit est laisse 
au choix de l'administrateur du systeme parmi les variantes d'EAP (Extensible 
Authentication Protocol) : 

• EAP-TLS (EAP- Transport Layer Security, RFC 2716) ouvre entre le mo- 
bile et le point d'acces un tunnel sur dont l'acces est controle par des certi- 
ficats electroniques delivres par une Infrastructure de gestion de cles (IGC, 
PKI en anglais) ; 

• EAP-MD5 repose sur le chiffrement par le protocole MD5, notoirement 
fragile ; 
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• EAP-TTLS (EAP-Tunneled Transport Layer Security), assez similaire a 
EAP-TLS, si ce n'est qu'il n'utilise qu'un seul certificat du cote du serveur ; 

• PEAP (Protected Extensible Authentication Protocol), tres semblable au pre- 
cedent ; 

• et deux ou trois autres variantes plus ou moins desuetes. 

Le protocole d'authentification EAP est encapsule au-dessus du protocole IEEE 
802.11. L'equipement d'acces au reseau sans fil (point d'acces) relaie les trames 
entre le client et le serveur d'authentification (serveur RADIUS), sans connaitre 
le protocole EAP utilise. Dans le cas ou le protocole d'authentification prend en 
charge la gestion des cles, celles-ci sont transmises a l'equipement d'acces puis 
au client dans le cadre du chiffrement. Le protocole d'authentification le mieux 
adapte semble etre EAP-TLS (EAP - Transport Layer Security) cree par Microsoft 
et accepte sous la norme RFC 2716, ce qui, curieusement, introduit une touche 
de confusion protocolaire. 



Une alternative a la securisation des reseaux Wi-Fi 

La mise en oeuvre de solutions de securite Wi-Fi de type WPA reste complexe : choix de 
bornes Wi-Fi adequates, serveur de securite, gestion des utilisateurs et eventuellement 
logiciel specifique a installer sur les postes de travail. 

Ajoutez a cela I'incertitude qui semble peser sur la securite effective de tels dispositifs. 
Une methode assez simple qui est parfois employee pour deployer de tels acces en en- 
treprise est de considerer I'acces Wi-Fi a I'identique d'un acces Internet. Le montage est 
alors le suivant : 

• deploiement d'un reseau Wi-Fi peu protege (un peu quand meme pour limiter 
I'acces a des touristes) ; 

• des filtres en sortie du reseau Wi-Fi n'autorisent le trafic que vers la passerelle 
VPN des utilisateurs nomades de I'entreprise, et cela afin d'eviter que les touristes 
ne puissent profiter de I'acces; 

• I'utilisateur ainsi connecte en Wi-Fi doit utiliser son logiciel VPN pour se connec- 
ter au reseau d'entreprise, technologie dans laquelle I'entreprise est en general 
plus confiante. 

II est bien sur indispensable dans une telle situation que la passerelle VPN soit dimen- 
sionnee de facon adequate, les volumes de donnees a traiter pouvant etre importants. 



Science de la securite du systeme d'information 



Deuxieme parfie 



L'accueil des visiteurs sur un reseau sans fil 

De nombreuses entreprises recoivent des visiteurs. Pouvoir leur donner un acces a I'ln- 
ternet sans pour autant autoriser I'acces au reseau d'entreprise fait partie de ces petits 
plus qui facilitent la vie a tout le monde. 

La generalisation des reseaux Wi-Fi ne fait qu'augmenter la pression des visiteurs pour 
beneficier d'un tel service. Les avantages pour I'entreprise sont reels : il n'est plus neces- 
saire de gerer un cablage et des prises specifiques pour les visiteurs, une infrastructure 
d'accueil sans fil permettra un acces depuis toute la zone de couverture. 

Le deploiement d'un acces Wi-Fi pour les visiteurs necessite de faire attention a quelques 
points : 

• la simplicite d'utilisation ; on evitera done des technologies compliquees comme 
celles basees sur WPA (Wifi Protected Access) qui necessitent une prise en charge 
logicielle adequate sur chaque poste de travail ; on preferera un portail Web 
permettant au visiteur de s'identifier, d'accepter les conditions d'utilisation et 
enfin d'utiliser le reseau Internet indispensable au travail de tous les jours; 

• I'information du visiteur sur ses droits, devoirs ainsi que sur les risques lies a 
I'utilisation d'un reseau sans fil est indispensable; 

• le respect de la reglementation en vigueur : I'operateur d'un point d'acces a [' In- 
ternet pour ses visiteurs est considere comme un fournisseur d'acces a I'lnternet 
et doit done enregistrer un certain nombre de donnees afin de permettre I'iden- 
tification d'un utilisateur, par exemple dans le cadre d'une requisition judiciaire. 

Une architecture simple que Ton peut rencontrer (en le faisant soi-meme ou bien en utili- 
sant des produits du commerce) permet de mettre en ceuvre un reseau sans fil utilisable 
aussi bien pour les besoins de I'entreprise que pour ceux des visiteurs. La contrainte 
essentielle est de disposer de points d'acces sans fil qui prennent en charge les reseaux 
virtuels multiples (VLAN) afin de separer le trafic en plus d'une gestion de plusieurs 
SSID. On associera bien sur un SSID a un VLAN pour chaque type d'utilisateur. Sou- 
vent, les produits d'entree de gamme ne repondent pas a ces caracteristiques techniques : 
il convient de bien verifier aupres de son fournisseur avant tout achat. 

Le deploiement se fera ensuite selon les principes directeurs suivants : 

• sur son reseau d'entreprise creer un VLAN pour les visiteurs - ce reseau virtuel 
n'aura pas acces aux ressources internes a I'entreprise, mais il devra disposer 
d'un acces a I'lnternet (moyennant parfois des filtres de securite, I'entreprise 
reste martresse de la nature ouverte ou restreinte du service qu'elle propose) ; 

• sur I'infrastructure Wi-Fi, transporter ce VLAN sous un identifiant SSID dedie a 
cet usage ; 

• configurer les bornes Wi-Fi afin que les differents utilisateurs du reseau visiteurs 
ne puissent pas se voir (lorsqu'il y a une seule borne Wi-Fi e'est assez simple a 
faire, par exemple sur une borne Aironet de Cisco on utilisera la fonction Public 
Secure Packet Forward) ; 
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• mettre en oeuvre un portail Wi-Fi pour les visiteurs, qui assure I'identification 
et I'information de I'utilisateur avant de lui donner acces a I'lnternet - I'enregis- 
trement et I'attribution des codes d'acces pourront se faire lors de I'accueil du 
visiteur ou bien a I'initiative des salaries disposant d'un acces au portail d'enre- 
gistrement. 

Le marche propose aujourd'hui des solutions permettant de mettre en ceuvre de telles 
solutions d'acces, et bien sur les utilisateurs experimentes pourront souhaiter deployer 
eux-memes une solution a base d'outils libres ; un serveur Linux avec quelques logiciels 
adequats permet de mettre en ceuvre un tel service : 

• un portail Web permet (depuis le reseau filaire) aux personnes autorisees de creer 
des acces pour les visiteurs et d'imprimer leur fiche d'acces; 

• lorsque le visiteur utilise le reseau sans fil, il ne peut acceder directement a 
I'lnternet, et le serveur « portail visiteurs » redirige toutes les connexions sortantes 
(au moins les connexions Web) vers le portail d'identification qui demandera au 
visiteur son code d'acces et le mot de passe associe ; 

• une fois I'identite du visiteur verifiee, le portail visiteurs autorise I'acces a I'lnternet 
en configurant dynamiquement le pare- feu (Netfilter avec un systeme Linux) pour 
autoriser ce poste de travail, et lui seul, a sortir sur I'lnternet ; 

• lorsque le visiteur quitte I'entreprise, ou bien en fin de journee, le code d'acces 
est automatiquement desactive ; 

• le logiciel du portail garde trace des heures d'utilisation et des adresses IP attri- 
butes : cela permet de repondre, si besoin est, a une requisition judiciaire pour 
identifier I'internaute. 

L'administrateur du reseau ne doit en outre pas oublier que lorsqu'il est dans une zone 
relativement dense, des tiers ne manqueront pas d'essayer, avec ou sans intention mal- 
veillante, d'acceder a son reseau « visiteurs », car celui-ci sera presente comme etant 
« ouvert » et done accessible a tous. Cela peut generer une quantite non negligeable 
d'evenements dans les journaux d'activite. On peut aussi envisager, si les systemes en 
place le permettent, des mecanismes de defense qui refusent I'acces a une station de 
travail apres un certain nombre de tentatives d'acces. 
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Identites, annuaires, 
habilitations 



Les questions d'identite et d'identifiants ne sont bien sur pas totalement etrangeres 
a l'univers de la securite, qui comporte notamment la question de savoir qui a le 
droit de faire quoi ; or pour repondre a cette question il faut pouvoir designer qui 
et quoi avec exactitude et precision. Nous evoquerons dans ce chapitre la question 
des identifiants, les annuaires electroniques etles infrastructures de gestion de cles. 



Qu'est-ce que I'identite 
dans un monde numerique ? 



Cette section consacree aux identifiants numeriques doit beaucoup a la commu- 
nication de Sophie Le Pallec [72] consacree a ce sujet au congres JRES 2005. 
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Problematique de I'identification 

La question des identifiants est au cceur de la problematique de traitement des 
donnees, pour la raison evidente qu'une donnee ne presente d'interet que si Ton 
est capable de la distinguer des autres informations, et de distinguer l'entite ou les 
entites auxquelles elle se rapporte des autres entites presentes dans l'univers etudie, 
ce qui definit le processus d'identification. Un identifiant est constitue d'un ou 
plusieurs attributs qui permettent de distinguer une entite d' autres entites, c'est- 
a-dire de connaitre son identite, parce que comme le dit Sophie Le Pallec « les 
entites sont des choses qui existent et qui peuvent etre distinguees les unes des 
autres ». 

Cette position de la question des identifiants au centre de la problematique in- 
formatique lui confere ipso facto un role tout aussi essentiel pour la securite des 
systemes d'information, puisqu'il devient alors crucial de pouvoir etre sur d'une 
identite, de pouvoir verifier l'authenticite d'un identifiant qui sert a alleguer cette 
identite. 

Sophie Le Pallec pense (et elle n'est pas la seule) que de plus en plus d'objets 
de la vie courante ou de l'activite economique seront dans un proche avenir do- 
tes d'identifiants numeriques, utilisables par des precedes informatiques et ac- 
cessibles par l'lnternet : «... nous nous avancons vers une ere ou les plus petits 
objets qui nous entourent seront porteurs d'information et capables d'echanger 
cette information avec leur environnement. II apparait egalement comme acquis 
que l'infrastructure globale en charge de vehiculer cette information sera celle de 
l'lnternet... » 

Trois types d'usage des identifiants 

Sophie Le Pallec distingue trois types d'usage des identifiants : 

1. L'identifiant ftimmatriculation est associe physiquement a l'entite identi- 
fiee, il procure un acces visuel a l'identite, que ce soit directement (nom 
de rue sur une plaque, code postal sur une enveloppe, numero ISBN sur 
un livre, numero d'immatriculation sur la plaque mineralogique d'une voi- 
ture) ou indirectement (numero de securite sociale dans la puce d'une carte 
Vitale, numero IMEI (International Mobile Equipment Identity) d'un tele- 
phone mobile, code-barre EAN*UCC (European Article Numbering - Uni- 
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form Code Council) du paquet d'un produit alimentaire dans un rayon de 
supermarche). 

2. L'identifiant $ indexation sert a caracteriser de facon unique un enregis- 
trement dans une base de donnees, il est une cle d'acces a l'information 
contenue dans cet enregistrement. 

3. L'identifiant de connexion permet de reperer sans ambiguite le chemin d'ac- 
ces a une entite connectee au reseau : il importe en effet que la localisation 
d'une telle identite soit identiflee de maniere unique, afin que la transmis- 
sion et le routage de l'information se fassent sans equivoque vers le bon 
recepteur. Sophie Le Pallec en distingue deux varietes : 

• les identifiants de connexion directe, tels les numeros de telephone du 
plan de numerotation international E.164, ou les adresses IP dans 
l'lnternet ; il existe pour un reseau donne un seul espace d'identifiants 
de connexion directe ; de tels identifiants ne peuvent pas etre conside- 
red comme permanents, parce que si l'entite qu'ils reperent se deplace 
dans le reseau ou change d'operateur de reseau, elle changera de nu- 
mero de telephone ou d'adresse IP ; 

• les identifiants de connexion indirecte sont des identifiants interme- 
diates qui vont designer un identifiant direct par le truchement d'un 
mecanisme de resolution ; ils sont generalement utilises pour pallier le 
defaut de permanence des identifiants directs. 

Notons enfin qu'un identifiant peut procurer : 

• soit un acces direct a l'objet physique identifie : le numero de telephone 
permet d'atteindre le poste de l'abonne, l'adresse IP l'ordinateur auquel elle 
est attribuee ; 

• soit l'acces a une information sur l'objet identifie : le numero INSEE, dit 
improprement numero de securite sociale, donne acces a certaines donnees 
relatives a la personne identifiee ; 

• il existe enfin des usages hybrides de certains identifiants : le nu- 
mero ISBN (pour International Standard Book Number cf. http://www. 
isbninternational.org/) d'un livre permet, dans une bibliotheque dont 
le systeme d'information donne la correspondance entre cote et ISBN, de 
retrouver sa notice dans un catalogue, mais aussi de le retrouver dans son 
rayon, ou de le commander chez un libraire. 
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Vers un systeme universel d'identifiants 

Des systemes d'identifiants utilises de facon generale (par opposition a des usages 
locaux, au sein d'une entreprise ou d'une region), ce qui suppose qu'un organisme 
d'enregistrement garantisse leur unicite, peuvent constituer des espaces d'iden- 
tifiants a vocation universelle ; nous avons deja cite le plan de numerotation te- 
lephonique international E.164 de l'Union Internationale des Telecommunica- 
tions (UIT), l'adressage IP dans l'lnternet, ou les identifiants a usage logistique, 
comme le systeme commun cree par la fusion du systeme europeen d'EAN In- 
ternational (European Article Numbering) et du systeme americain UCC (Uniform 
Code Council) pour former un espace unique d'identification des objets materiels 
tout au long de la chaine d'approvisionnement, administre par le consortium GS1 
(http://www.gsl.org/). Les activites de GS1, qui regroupe un million d'entre- 
prises dans une centaine de pays, se manifestent jusque sur les rayons des super- 
marches par le code-barre qui orne votre paquet de cafe ou votre bouteille d'eau 
minerale (le Chateau-Margaux et la Romanee-Conti y echappent encore). Citons 
egalement le DOI (pour Digital Object Identifier, cf. http://www.doi.org), issu 
du monde de la documentation. 

La question se pose de la convergence de ces espaces d'identifiants : l'imbrica- 
tion croissante des activites economiques et des echanges de donnees a l'echelle 
mondiale plaide pour l'unification. Dans une telle perspective le plan d'adressage 
IP de l'lnternet semble bien place pour l'emporter : comme E.164 de l'UIT il est 
incarne dans une infrastructure technique qui procure un acces direct a chaque 
entite identifiee, mais son architecture est nettement plus ouverte (chacun peut 
s'y agreger plus facilement), et surtout il dispose d'un double systeme identifiants 
de connexion directe (adresses IP) — identifiants de connexion indirecte (URI, 
pour Uniform Resource Identifier, cf. http://fr.wikipedia.org/wiki/URl). Les 
identifiants de connexion indirecte, ici les URI tels que http://www.ietf.org, 
constituent l'espace de nommage de l'lnternet (par opposition a l'espace d'adres- 
sage), dans le fonctionnement duquel ils jouent plusieurs roles : 

• comme indique ci-dessus, ils pallient la non-permanence des adresses IP (a 
votre domicile, le plus souvent, votre fournisseur d' acces a l'lnternet vous 
attribue une adresse IP differente a chaque nouvelle connexion et avec IPv6 
cette variability des adresses IP se generalisera) ; 

• le systeme de resolution des identifiants de connexion indirecte (URI) en 
identifiants de connexion directe (adresses IP), le DNS (Domain Name Sys- 
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tern), beneficie d'un deploiement universel et d'une avance technique cer- 
taine sur ses concurrents eventuels, parmi lesquels un des mieux places, la 
norme LDAP (pour Lightweight Directory Access Protocol) d'annuaire elec- 
tronique, appartient en fait au meme univers technique ; 
• enfin, ils fournissent une identification facile a memoriser, ce qui est impor- 
tant, notamment d'un point de vue commercial. 

Des mecanismes d'abstraction du cerveau 

lei je ne resiste pas a la tentation de citer plus longuement Sophie Le Pallec : « Une abs- 
traction operee naturellement par le cerveau permet de passer, sans prise de conscience 
forte, de la fonction de I'identifiant d'immatriculation a celle d'identifiant d'indexation ou 
d'identifiant de connexion, lorsqu'un meme identifiant, ou des identifiants semantique- 
ment proches, assurent ces trois fonctions. Ce mecanisme d'abstraction, qui est une des 
bases du langage, autorise la dualite fonctionnelle des identifiants [...], ainsi nous trou- 
vons tout a fait normal que I'identifiant « soleil », applique a nommer I'astre en question, 
puisse etre associe simultanement a I'information sur I'astre, qu'elle soit accessible via 
une base de donnee ou un moteur de recherche en tapant comme mot-cle « soleil ». De 
meme, nous trouvons naturel qu'un site Web avec I'adresse www.soleil.com fasse dans 
son contenu reference a I'astre solaire. Alfred Korzybski, specialiste de la semantique, 
associe au mot « identification » I'expression « confusion des ordres d'abstractions ». 
II s'agit pour lui de nommer une perturbation semantique (« identification ») que Ton 
retrouve a la base des troubles mentaux et de decrire un processus sous-jacent, systema- 
tique, a cette perturbation (« confusion des ordres d'abstractions »). II est interessant de 
conserver a I'esprit que cette confusion peut etre utilisee a dessein de maniere tout a fait 
saine, mais pas forcement toujours tres consciente, dans les processus d'identification 
complexes que nous pouvons mettre en oeuvre. » 



La politique des identifiants 

Si l'adressage IP devient hegemonique, se posera la question du controle politique 
de son administration. Historiquement, celle-ci etait devolue a 1'IANA (Internet 
Assigned Numbers Authority), qui centralise et controle les conventions relatives a 
l'identification des objets du reseau, et notamment veille a l'unicite des adresses, 
mais depuis 1998 e'est YInternet Corporation for Assigned Names and Numbers 
(ICANN) qui supervise 1' attribution des noms de domaines et des adresses. 

L'ICANN est une organisation internationale sans but lucratif dont le role est 
d'allouer l'espace des adresses du protocole Internet (IP), d'attribuer les identi- 
ficateurs de protocole, de gerer le systeme de noms de domaine de premier ni- 
veau pour les codes generiques (gTLD, pour generic Top Level Domain, tels . com 
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ou . edu) et les codes nationaux (ccTLD, pour country code Top Level Domain, 
tels . f r ou .be), et d' assurer 1' organisation et le fonctionnement du systeme de 
serveurs racines ; pour chacune de ces transactions, 1'ICANN preleve une rede- 
vance, ce qui assure son financement. Dans la perspective d'une generalisation de 
l'adressage IP, on mesure que cette institution, de fait largement controlee par 
le gouvernement des Etats-Unis, disposera d'un pouvoir d'autant plus exorbitant 
que Ton ne voit pas tres bien, dans 1' organisation de l'lnternet telle quelle existe 
aujourd'hui, ce qui pourrait le contrebalancer. 

Distinguer noms et identifiants dans le DNS ? 

Michael J. O'Donnell, du departement d'informatique de l'universite de Chicago 
[83], defend, non sans arguments, le point de vue suivant : des lors que les noms de 
domaines ont une signification pour les etres humains qui les lisent, les ecrivent 
et sen souviennent, ils sont ineluctablement susceptibles de devenir des enjeux 
politiques ou commerciaux. 

Si la lutte pour un de ces enjeux que sont les noms de domaines aboutit a ce 
que le titulaire d'un nom en soit depossede, avec les regies actuelles d'administra- 
tion du DNS ses visiteurs perdent tout moyen d'atteindre son site ou son adresse 
electronique. Pour eviter cela, O'Donnell propose la creation d'une couche inter- 
mediate entre les noms et les adresses IP : les handles (poignees), qui ne seraient 
en fait rien d' autre que des identifiants sans signification en langage humain, par 
exemple des sequences de chiffres. Ces identifiants seraient dotes des proprietes 
suivantes : gratuite, unicite, permanence, perennite. Ces proprietes distinguent les 
identifiants proposes par O'Donnell des adresses IP, qui changent des que le site 
ou le service se deplace geographiquement, change de fournisseur d'acces, et avec 
IPv6 les adresses seront encore plus volatiles. 

Pour faire fonctionner ce systeme de poignees, il suffirait de les enregistrer dans 
un domaine particulier, reserve a cet effet, de l'actuel DNS : ainsi tous les logiciels 
et toutes les infrastructures necessaires sont deja en place, ce qui limite de facon 
drastique les investissements necessaires a la mise en ceuvre du projet. Et, comme 
les identifiants n'ont aucun contenu semantique, ils ne devraient donner prise a 
aucune lutte pour leur possession. 
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Pretty Good Privacy (PGP) et signature 

Le systeme PGP defraya la chronique judiciaire en 1993 lorsque son auteur Philip 
Zimmerman fut soumis a une enquete approfondie du FBI pour exportation ille- 
gale d'armes de guerre, en l'occurrence pour avoir place son logiciel en acces libre 
sur l'lnternet. Les autorites policieres americaines (et francaises) ont tendance a 
penser que le chiffrement robuste est un obstacle a leurs investigations parce qu'il 
leur interdirait de dechiffrer les messages echanges par des criminels ou des en- 
nemis. Aujourd'hui tous les dispositifs cryptographiques les plus puissants sont 
accessibles facilement par l'lnternet et ainsi disponibles sans obstacles pour lesdits 
criminels et espions. Une legislation restrictive n'entraverait par consequent que 
les honnetes citoyens soucieux de respecter la loi parce que c'est la loi, pas parce 
qu'il est difficile de faire autrement. Une telle legislation n'aurait done pour effet 
que de mettre les honnetes gens a la merci des criminels, ce qui ne semble pas 
1' effet recherche, en principe du moins. 

Sachant que de telles legislations sont en declin, meme en France, pays qui a 
fermement tenu l'arriere-garde jusqu'en 1998, voyons le contenu de PGP. En 
fait, PGP n'apporte aucune revolution, il est plutot un assemblage ingenieux et 
pratique des techniques evoquees au chapitre 4 page 71. 

Pour pallier la lenteur des calculs d'algorithmes a la RSA, Zimmerman eut l'idee 
de recourir au bon vieux chiffrement a cle partagee ; comme le point faible de ce 
dernier est l'envoi de la cle, on utilisera RSA pour communiquer une cle de session 
pour un algorithme a cles symetriques, cle qui servira a chiffrer la suite des com- 
munications avec cet algorithme classique. En l'occurrence Zimmerman choisira 
IDEA, un cousin de DES a cles de 128 bits, cree a Zurich par James L. Massey 
et Xuejia Lai, et repute tres robuste. Notons que les systemes de communication 
chiffres tels que SSL (Secure Socket Layer) utilises pour les transactions par le Web, 
la releve de courrier electronique et la connexion conversationnelle a distance par 
SSH (Secure Shell) fonctionnent de cette facon. 

Cette utilisation combinee des methodes de chiffrement symetrique (DES en l'oc- 
currence) et asymetrique sera la vraie revolution pratique, qui suscitera la colere de 
la NSA et de ses homologues dans d'autres pays dont la France. Avant que cette 
possibility n'existe, les utilisateurs de cryptosystemes se mettaient laborieusement 
d' accord sur une cle, puis ils l'utilisaient pendant longtemps. La NSA disposait 
sans doute des moyens de casser le chiffrement DES, ce qui lui ouvrait des mois 
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de lecture paisible de messages reputes secrets. Avec la combinaison de DES et 
RSA, les utilisateurs changent de cle a chaque echange de messages, ce qui com- 
plique beaucoup la tache des « services ». 

PGP sera la cible principale de l'ire des services gouvernementaux, non parce qu'il 
serait un cryptosysteme revolutionnaire, mais parce qu'il constitue une trousse a 
outils facile d'emploi pour l'usage quotidien, avec les outils de chiffrement syme- 
trique et asymetrique, la gestion de « trousseaux de cles » publiques et privees, 
l'incorporation automatique de ces outils au logiciel de courrier electronique de 
l'utilisateur, sans oublier les accessoires de signature electronique. Zimmerman a 
aussi realise un excellent travail d'optimisation des algorithmes afin qu'un simple 
PC bas de gamme puisse effectuer les calculs cryptographiques a une vitesse rai- 
sonnable. Bref, on installe PGP (ou maintenant sa version libre GnuPG) sur son 
ordinateur personnel et ensuite tous les messages sont chiffres et dechiffres sans 
que Ton ait a s'en preoccuper. Les services semblaient mal supporter cette situa- 
tion. 

On trouvera sur le site Lea-Linux . org une bonne introduction pratique en fran- 
cais a GnuPG [21]. 

S/MIME et PGP : deux standards pour une messagerie securisee 

La mise en oeuvre du chiffrement et de la signature electronique lors d'echanges de 
courriers electroniques se fait en utilisant des standards de mise en forme specifiques. 
Aux nombreux formats proprietaires d'applications specifiques, s'ajoutent deux formats 
ouverts et plus repandus : 

• S/MIME (RFC 2311) decrit le mode operatoire et d'encodage des courriers elec- 
troniques signes ou chiffres avec utilisation de certificats X.509 et des cles privees 
associees ; 

• PGP, historiquement plus ancien, utilise des principes similaires pour definir la 
maniere dont il faut encoder un message afin d'y adjoindre la signature electro- 
nique, et la maniere de representer un message chiffre. 

La difference essentielle entre les deux est le mode de certification de I'identite : alors 
que le systeme des anneaux PGP repose sur le principe « les amis de mes amis sont 
(peut-etre) mes amis », les certificats X.509 utilises dans S/MIME reposent, eux, sur 
un systeme de verification hierarchique (« I'autorite » a emis le certificat personnel et 
garantit I'identite selon des criteres donnes). 

S/MIME semble s'imposer comme la methode la plus repandue : il est disponible avec de 
nombreux outils de messagerie du marche et peut etre utilise des que l'utilisateur dispose 
d'un certificat personnel. La mise en ceuvre de PGP pourra, elle, necessiter I'installation 
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d'un programme complementaire, operation egalement fort simple. Le choix de I'un 
ou de I'autre standard releve moins de choix techniques que de questions de gout, et 
de commodite d'usage avec tel ou tel logiciel de messagerie. II est cependant admis 
qu'aujourd'hui PGP touche plutot un public averti. 

Le principe et les bases de fonctionnement des deux technologies sont similaires. Le 
message a signer ou a chiffrer (ou les deux) va etre remis en forme dans un format 
specifique avant d'etre envoye par le protocole SMTP aux destinataires. Ce qu'il faut 
comprendre c'est qu'avec de tels systemes un message ayant plusieurs destinataires n'est 
ni signe ni chiffre plusieurs fois (dans le cas le plus courant bien sur). La signature (le 
« resume » du message chiffre avec la cle privee de I'expediteur) est calculee une seule 
fois quel que soit le nombre de destinataires du message. Le standard permet de mettre 
plusieurs blocs de signatures dans un message, lorsque celui-ci est signe par plusieurs 
personnes, situation assez rare et qui n'est pas forcement prise en charge par les outils de 
messagerie les plus courants. Le chiffrement s'effectue egalement en plusieurs phases : 

• en premier lieu, le message est chiffre avec un algorithme symetrique et une cle 
secrete creee pour I'occasion ; 

• c'est cette cle secrete qui servira a creer un bloc de chiffrement pour chaque 
destinataire - la cle de I'algorithme symetrique est protegee par I'algorithme asy- 
metrique en utilisant la cle publique de chaque destinataire, il y a done autant 
de blocs « cle symetrique protegee » que de destinataires au message. 

Pour emettre un message chiffre, il faut done que I'expediteur dispose de I'ensemble des 
cles publiques (PGP) ou certificats X.509 (S/MIME) de ses correspondants. Pour ne 
pas dupliquer le chiffrement du message il convient egalement que tous les destinataires 
sachent utiliser un meme mode de chiffrement symetrique (par exemple le triple DES). 



Creer un reseau de confiance 

Du trousseau de cles a 1'IGC 

A ce stade de l'expose, nous disposons de deux types de cryptosystemes, l'un sy- 
metrique a secret partage, I'autre asymetrique avec cles publiques et cles privees, le 
second permettant l'echange du secret partage necessaire au premier. Nous avons 
aussi, sans cout supplemental, un systeme de signature sure et non repudiable 
qui garantit en outre l'integrite des messages recus. Ce qu'un systeme technique 
ne peut fournir a lui seul, c'est l'etablissement du circuit de la confiance : comment 
etre sur que telle cle publique ne m'a pas ete fournie par un usurpateur ? 

PGP fournit a ce probleme une solution a l'echelle d'une personne et de son cercle 
de relations : trousseau de cles publiques et privees conserve sur le disque dur d'un 
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ordinateur personnel. L'auteur de ces lignes emploie a cet usage l'excellent logi- 
ciel KGpg de la suite Kde. Les utilisateurs du logiciel de messagerie Thunderblrd 
peuvent avoir recours a l'extension Enigmail. II existe sur l'lnternet des serveurs de 
cles, par exemple http : //subkey s . pgp .net/, ou Ton peut publier sa cle. Chacun 
peut signer les cles publiques des gens qu'il connait, apres avoir verifie aupres de 
chacun, de vlsu et simultanement, une piece d'identite et le condensat de la cle 
(cf. page 47) au cours d'une seance de signature de cles (key signing party) . Si je dois 
utiliser la cle publique de quelqu'un, le fait quelle soit signee par plusieurs per- 
sonnes que je connais et dont j'ai moi-meme verifie la cle peut me convaincre de 
lui accorder ma confiance. Cette idee de signer les cles est cruciale dans le processus 
d'etablissement de la confiance. 

Mais il est patent que PGP ne repond pas, du moins a lui tout seul, a ce probleme 
a l'echelle d'une entreprise, ni a fortiori a celle de l'lnternet. Des que le nombre 
de personnes concernees depasse l'effectif d'un groupe d'amis, il faut penser a des 
solutions plus administrees pour engendrer une transltlvlte de la confiance. 

Pour ce faire il faut recourir a un systeme d'annuaire electronique complete par 
une infrastructure de gestion de cles (IGC, en anglais Public Key Infrastructure, 
PKI), ce qui sera l'objet de la section suivante. 

Annuaire electronique et gestion de cles 

L'annuaire electronique est une base de donnees au format un peu particulier 
qui rend les services habituels d'un annuaire : repertorier des personnes ou des 
serveurs selon un schema hierarchique, de l'entite la plus englobante (pays) a la 
plus petite (personne) en passant par plusieurs niveaux (entreprise, departement, 
service...). L'annuaire electronique contient aussi, idealement, des certificats, qui 
comprennent notamment les cles publiques des entites enregistrees. Pour attes- 
ter la veracite de ces certificats, ils sont, toujours idealement, signes par une ou 
plusieurs autorites de certification, et eventuellement par le detenteur de la cle 
lui-meme. 

II existe une norme assez generalement acceptee pour la structure hierarchique de 
designation des objets de l'annuaire, heritee de la norme d'annuaire X500 de 1'ISO 
et adaptee de facon simplifiee par 1'IETF pour les protocoles de l'lnternet, sous 
le nom LDAP (Lightweight Directory Access Protocol). La syntaxe ne fera peut- 
etre pas l'unanimite, mais elle permet de traiter a peu pres tous les cas possibles. 
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Void le DN (Distinguished Name) de l'objet « Pierre Martin », c'est-a-dire son 
nom absolu, constitue de RDNs (Relative Distinguished Names) successifs, un peu 
comme les noms relatifs dans une arborescence de fichiers Unix constituent le 
chemin absolu d'un fichier ; CN signifie Common Name, OU Organizational Unit, 
O Organization : 

cn=Pierre Martin, ou=Groupe Systeme, 
ou=Division Informatique , o= Compagnie Dupont 

La forme des certificats decoule egalement de la norme X500, et elle obeit a la 
norme X509. 

Qui certifie la signature des autorites de certification ? En bref, qui me garantit 
que le contenu de l'annuaire n'est pas un artefact cree par un escroc ? La procedure 
de creation de 1'IGC et d'enregistrement des entites comportera necessairement 
une intervention humaine qui a chaque etape constate l'identite de la personne 
(physique, morale ou technique) a laquelle est delivre le certificat. Un certificat 
emis par 1'IGC decrit une entite et contient sa cle publique, ainsi que les signatures 
des autorites qui garantissent le certificat. 

Dans un monde ideal (ideal du point de vue de la securite informatique, qui 
n'est certes pas le seul envisageable), une hierarchie d'IGC propage une certaine 
confiance. Qyiconque accede a un systeme d'information est identifie par l'an- 
nuaire et authentifie par son certificat et sa cle publique, dont le pendant est la cle 
privee. Chaque serveur est egalement identifie et authentifie. Les communications 
entre les deux peuvent etre chiffrees. 



Risques lies aux systemes ^identification 

Le fonctionnement des espaces d'identifiants universels evoques ci-dessus en refe- 
rence a l'article de Sophie Le Pallec [72] est crucial dans le monde contemporain : 
une interruption de plusieurs heures des services rendus par l'lnternet aurait des 
consequences economiques et organisationnelles considerables. 

\J Internet Corporation for Assigned Names and Numbers (ICANN), nous l'avons si- 
gnals ci-dessus, a notamment pour mission de gerer le systeme de noms de do- 
maine de premier niveau pour les codes generiques (gTLD, tels . com ou . edu) 
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et les codes nationaux (ccTLD, tels . fr ou .be), et d' assurer 1' organisation et le 
fonctionnement du systeme de serveurs racine : si ce systeme de serveurs racine 
est indisponible, l'lnternet est arrete. On imagine qu'une attaque reussie contre ce 
systeme serait pour les pirates qui l'auraient entreprise un « succes » de premiere 
grandeur. 

Une telle attaque contre les serveurs racine ne serait pas une chose facile : au- 
jourd'hui, ces serveurs sont au nombre de 13, repartis a la surface de la planete, 
surtout aux Etats-Unis, mais aussi a Tokyo, Londres et Stockholm, et chacun de 
ces serveurs est lui-meme replique sur plusieurs machines. En outre, comme ces 
machines sont souvent attaquees, leurs administrateurs sont bien entraines et ils 
sont au fait des dernieres techniques malfaisantes. 

Un collegue avec qui j'evoquais l'eventualite d'une telle attaque me faisait remar- 
quer qu'une attaque contre l'entreprise Verisign serait plus habile : Verisign gere le 
domaine . com, et occupe une position eminente sur le marche des certificats elec- 
troniques a usage commercial. En effet, le certificat de l'Autorite de Certification 
racine de Verisign figure dans tous les navigateurs, ce qui fait que les certificats 
vendus par Verisign sont automatiquement acceptes lors de transactions electro- 
niques, alors qu'un certificat delivre par une IGC moins reconnue n'est accepte 
que si l'utilisateur charge au prealable dans son navigateur le certificat de l'Auto- 
rite de Certification racine concernee, manoeuvre simple mais qui suffit a dissuader 
le client. 

La mise hors service des infrastructures de Verisign ne suffirait pas a invalider les 
certificats en circulation sur le reseau, puisqu'ils sont deja enregistres dans les na- 
vigateurs : pour obtenir un resultat qui s'approche de cet ideal, le meilleur moyen 
serait sans doute de diffuser un Service Pack falsifie modifiant les magasins de cer- 
tificats des utilisateurs qui le mettraient en service. 

En revanche, une attaque couronnee de succes sur Verisign aurait des effets tres 
nefastes sur le fonctionnement du domaine . com et, partant, sur le commerce 
electronique mondial, dont le volume est estime a 3% du PNB mondial consolide, 
ce qui est considerable : il en resulterait surement des dommages economiques non 
negligeables. 
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Organiser un systeme d'identite numerique 

Objectif SSO 

La proliferation des systemes d'identification et d'authentification est une conse- 
quence non desiree de la penetration de l'informatique dans tous les domaines de 
l'activite humaine. 

L'utilisation de certificats electroniques archives dans des annuaires aurait pour 
avantage, outre de faire obstacle plus efficacement a la fraude informatique, de 
permettre aux personnes de posseder un systeme d'identification electronique 
unique (single sign on) au lieu d' avoir a connaitre des dizaines de mots de passe 
et codes secrets — pour leur carte bancaire, leur telephone mobile, leurs courriers 
electroniques prive et professionnel, la consultation en ligne de leurs comptes ban- 
caires, les differents systemes informatiques auxquels elles accedent dans leur vie 
professionnelle et privee. 

Experience de terrain 

L'auteur de ces lignes a eu un jour a lancer et a realiser un projet d'annuaire elec- 
tronique dans un grand organisme de recherche scientifique. II apparut assez vite 
que ce type de projet etait notablement plus complexe qu'il n'y parait lorsque Ton 
n'a pas essaye. 

Constituer l'annuaire papier, done statique, d'une population donnee consiste a 
effectuer a un instant donne un recensement exhaustif des individus de cette 
population et de leurs caracteristiques qui doivent figurer dans l'annuaire, telles 
qu'adresse, numero de telephone, etc. 

Pour constituer un annuaire electronique qui presente des avantages significatifs 
par rapport a un annuaire papier, il faut creer une base de donnees qui contienne 
les donnees deja evoquees ci-dessus, et surtout mettre en place des processus d' ali- 
mentation et de mise a jour de cette base avec pour objectifs les qualites suivantes : 
pertinence, actualite, fiabilite, exhaustivite, disponibilite. Concevoir ces processus 
d' alimentation de l'annuaire demande d' avoir identifle les sources adequates de 
donnees. 

La reponse naive a cette question, qui fut donnee par quelques aspirants- 
prestataires, va de soi : « Eh bien, vous prenez votre fichier de personnel, une 
extraction, et voila ! » C'etait simplement oublier qu'un organisme de recherche 
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reunit bien d'autres individus que ses propres personnels, lesquels ne representent 
qu'une petite moitie des quelques milliers de personnes actives dans l'institution. 
Pour ecarter d'autres idees simplistes, qu'il suffise de dire que lesdits personnels 
sont disperses sur quelques dizaines de sites dotes chacun de ses propres regies de 
gestion administrative et technique. II fallait chercher autre chose. 

Une enquete aupres de collegues experimented m'apprit qu'il existait environ 130 
fichiers de personnel dans l'entreprise, exhaustifs ou partiels. De quoi faire dresser 
les cheveux sur la tete d'un concepteur de systeme d'information ! II est plus que 
probable que 1' existence de bases de donnees de bonne qualite facilement acces- 
sibles serait de nature a faire disparaitre beaucoup de ces fichiers d'interet local, 
constitues pour resoudre des problemes ponctuels, et pas forcement toujours de 
tres bonne qualite. Mais sans faire passer le nombre de fichiers de personnel de 
130 a 1 ! 

Une visite aux detenteurs de quelques-uns des 130 fichiers a revele un certain 
nombre de fichiers redondants, morts ou indigents, mais aussi des fichiers bien 
vivants qui avaient de bonnes raisons de continuer a mener une existence dis- 
tincte. Parmi les bonnes raisons, la plupart ont trait a des exigences temporelles 
quant a la disponibilite des donnees. Ainsi, lorsqu'un nouveau salarie prend ses 
fonctions le premier jour du mois, le degre d'urgence de son inscription dans les 
fichiers du personnel est determine par l'objectif de lui verser sa remuneration, 
c'est-a-dire que cette inscription doit avoir lieu au plus tard entre le 15 et le 20 du 
mois. Mais pour qu'il puisse effectivement commencer a travailler il faut lui ou- 
vrir un compte de messagerie electronique bien avant cette date, et, pour ce faire, 
l'enregistrer dans les bases de donnees correspondantes. II serait egalement sou- 
haitable qu'il soit dans l'annuaire telephonique. Bref, les auteurs et les utilisateurs 
de ces fichiers ont des imperatifs differents, sans meme aborder la delicate ques- 
tion de la confidentiality des donnees et du secret professionnel. Les supprimer au 
profit d'une base de donnees unique n'irait surement pas sans poser de difficiles 
problemes. 

Nos dernieres illusions s'envolerent lorsque nous decidames de quitter le havre de 
la direction generate pour visiter des sites operationnels en province ou en region 
parisienne. Les personnes chargees d'alimenter les bases en donnees recueillies 
sur le terrain nous expliquerent avec menagement mais franchise les procedures 
suivies. Les fichiers dont le contenu avait une incidence financiere ou en termes 
de personnel etaient mis a jour serieusement, mais uniquement pour les donnees 
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qui avaient une telle incidence. D'autres fichiers a usage purement bureaucratique 
(ou percu comme tel), et dont les procedures de mise a jour etaient de surcroit 
particulierement penibles, etaient beaucoup moins bien traites — en general on se 
contentait de renvoyer la version de l'annee precedents, et personne ne s'apercevait 
de rien. 

Bref, nous avions reve d'un systeme d'information ou il nous aurait suffi de voleter 
de base de donnees en base de donnees pour y butiner les donnees utiles a notre 
projet : il se revelait que nous avions a construire les donnees dont nous avions be- 
soin, et que la reutilisation de donnees existantes n'etait pas un avantage mais bien 
plutot une contrainte, imposee par le souci de coherence mais assortie d'un cout 
eleve induit par leur mauvaise qualite et, paradoxalement, par leur incoherence. 

La situation decrite ci-dessus ne correspond pas a un cas particulierement defavo- 
rable : au contraire, tous les univers de donnees reels sont peu ou prou conformes a 
cette description. Les donnees sont bonnes si elles ont une bonne raison de l'etre, 
et elles sont bonnes a l'usage pour lequel elles ont ete construites. Si Ton veut en 
faire autre chose, il faut les re-elaborer entierement. 
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Une charte des 
utilisateurs 



Ce chapitre est consacre a un exemple de charte qu'un organisme de recherche doit 
faire signer aux utilisateurs de son systeme d'information. Un tel document doit 
etre approuve par les organismes de concertation entre le personnel et la direction 
de letablissement, c'est-a-dire en droit francais le Comite d'entreprise pour les 
organismes de droit prive et le Comite technique paritaire central pour les orga- 
nismes publics, puis il doit etre promulgue par la direction au plus haut niveau. 
Une fois que ces formalites ont ete accomplies, la charte devient partie integrante 
du reglement interieur de l'entreprise, et peut done etre opposee aux membres du 
personnel qui la transgressent, y compris devant les instances disciplinaires et juri- 
diques. En outre, un membre du personnel qui enfreindrait une loi penale signalee 
par la charte ne pourrait pas arguer de sa bonne foi devant un tribunal, ni rejeter 
la responsabilite de ses actes delictueux sur son employeur. 

Une telle charte est destinee a faire l'objet d'une large publicite, et notamment a 
paraitre sur le site Web de l'organisme. 
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Preambule de la charte 

Cette charte de l'utilisateur des ressources informatiques et des services Internet de 
1'INSIGU est avant tout un code de bonne conduite. II a pour objet de preciser la 
responsabilite des utilisateurs en accord avec la legislation afin d'instaurer un usage 
convenable des ressources informatiques et des services Internet, dans le respect 
des dispositions legales et reglementaires en vigueur, avec des regies minimales de 
courtoisie et de respect d'autrui. 

Pour tout renseignement complementaire, les utilisateurs peuvent s'adresser, selon 
le cas, au responsable de leur unite, equipe, departement ou service, au responsable 
regional informatique de la direction regionale dont ils dependent, ou au respon- 
sable de la securite des systemes d'information de 1'INSIGU. 



Definitions 

On designera sous le terme « entite » les structures creees par 1'INSIGU pour 
l'accomplissement de ses missions, telles que les unites de recherche, les equipes, 
ainsi que les departements et services administratifs. 

On designera de facon generate sous le terme « ressources informatiques », les 
moyens informatiques de calcul ou de gestion locaux ainsi que ceux auxquels il 
est possible d'acceder a distance, directement ou en cascade a partir du reseau 
administre par une entite de 1'INSIGU. 

On designera par « services Internet », la mise a disposition par des serveurs locaux 
ou distants de moyens d'echanges et d'informations diverses : Web, messagerie, 
forum... 

On designera sous le terme « utilisateur », les personnes ayant acces aux ressources 
informatiques et services Internet d'une entite de 1'INSIGU. 



L'Institut national des sciences informatiques et geographiques de l'univers (INSIGU) est un 
organisme de recherche fictif, pour les besoins de notre exemple. 
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Acces aux ressources et aux services 

L'utilisation des ressources informatiques et l'usage des services Internet ainsi que 
du reseau pour y acceder sont autorises dans le cadre exclusif de l'activite profes- 
sionnelle des utilisateurs conformement a la legislation en vigueur. 

L'activite professionnelle est celle prevue par les statuts du reseau MIRANDA 
pour la recherche scientifique, auquel est lie 1'INSIGU, a savoir : les activites de 
recherche, d'enseignement, de developpement technique, de transfert de techno- 
logies, de diffusion d'informations scientifiques, techniques et culturelles, d'expe- 
rimentation de nouveaux services presentant un caractere d'innovation technique, 
mais egalement toute activite administrative et de gestion decoulant de ces activi- 
tes ou les accompagnant. 

L'utilisation des ressources informatiques partagees de l'entite et la connexion d'un 
equipement sur le reseau sont en outre soumises a autorisation. Ces autorisations, 
delivrees par le directeur de l'entite, sont strictement personnelles et ne peuvent 
en aucun cas etre cedees, meme temporairement, a un tiers. Ces autorisations 
peuvent etre retirees a tout moment. Toute autorisation prend fin lors de la ces- 
sation, meme provisoire, de l'activite professionnelle qui l'a justifiee. 

L'entite pourra en outre prevoir des restrictions d'acces specifiques a son organi- 
sation : chiffrement d'acces ou d'authentification, filtrage d'acces securise, etc. 



Regies (('utilisation, de securite et de bon usage 

Tout utilisateur est responsable de son usage des ressources informatiques et du 
reseau auxquels il a acces. II a aussi la charge, a son niveau, de contribuer a la 
securite generale et aussi a celle de son entite. 

L'utilisation de ces ressources doit etre rationnelle et honnete afin d'en eviter la 
saturation ou le detournement a des fins personnelles. 

En particulier : 

• il doit appliquer les recommandations de securite de l'entite a laquelle il 
appartient ; 

• il doit assurer la protection de ses informations et il est responsable des 
droits qu'il donne eventuellement a d'autres utilisateurs, il lui appartient 
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de proteger ses donnees en utilisant les differents moyens de sauvegarde 
individuels ou mis a sa disposition ; 

• il doit signaler toute tentative de violation de son compte et, de facon ge- 
nerate, toute anomalie qu'il peut constater ; 

• il doit suivre les regies en vigueur au sein de l'entite pour toute installation 
de logiciel ; 

• il choisit des mots de passe surs, gardes secrets et il ne doit en aucun cas les 
communiquer a des tiers ; 

• il s'engage a ne pas mettre a la disposition d'utilisateurs non autorises un 
acces aux systemes ou aux reseaux, a travers des materiels dont il a l'usage ; 

• il ne doit pas utiliser ou essayer d'utiliser des comptes autres que le sien, ni 
tenter de masquer sa veritable identite ; 

• il ne doit pas tenter, directement ou indirectement, de lire, modifier, copier 
ou detruire des donnees autres que celles qui lui appartiennent en propre ; 
en particulier, il ne doit pas modifier le ou les fichiers contenant des infor- 
mations comptables ou d'identification ; 

• il ne doit pas quitter son poste de travail ni ceux en libre-service en lais- 
sant des ressources ou services accessibles et il doit se deconnecter, sauf avis 
contraire de l'administrateur du reseau. 



Confidentialite 

L' acces par les utilisateurs aux informations et documents conserves sur les sys- 
temes informatiques doit etre limite a ceux qui leur sont propres, et ceux qui 
sont publics ou partages. En particulier, il est interdit de prendre connaissance 
d'informations detenues par d'autres utilisateurs, quand bien meme ceux-ci ne les 
auraient pas explicitement protegees. Cette regie s'applique egalement aux conver- 
sations privees de type courrier electronique dont l'utilisateur n'est destinataire ni 
directement ni en copie. Si, dans l'accomplissement de son travail, l'utilisateur est 
amene a constituer des fichiers relevant de la loi Informatique et Libertes, il devra 
auparavant en avoir fait la demande a la CNIL en concertation avec le Directeur 
de l'entite, le correspondant informatique et libertes de 1'INSIGU et le service 
juridique de 1'INSIGU et en avoir recu l'autorisation. II est rappele que cette au- 
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torisation n'est valable que pour le traitement defini dans la demande et non pour 
le fichier lui-meme. 



Respect de la legislation 

II est strictement interdit d'effectuer des copies de logiciels commerciaux pour 
quelque usage que ce soit, hormis une copie de sauvegarde dans les conditions 
prevues par le code de la propriete intellectuelle. Ces dernieres ne peuvent etre 
effectuees que par la personne habilitee a cette fin par le responsable de l'entite. 

Par ailleurs l'utilisateur ne doit pas installer de logiciels a caractere ludique, ni 
contourner les restrictions d'utilisation d'un logiciel. 

II est rappele que les logiciels commerciaux disponibles pour les utilisateurs de 
1'INSIGU sont l'objet de licences par lesquelles des droits d'usage sont concedes 
a 1'INSIGU. Ces licences font l'objet de contrats conclus par 1'INSIGU. II est de 
la responsabilite des personnels de respecter les termes de ces licences et de ces 
contrats ; y manquer serait un delit et, en outre, une faute professionnelle. 

De meme, l'installation sur un systeme informatique mis en ceuvre par 1'INSIGU 
d'un logiciel dont le droit d'usage est acquis a titre prive par un membre du per- 
sonnel n'est pas autorisee. 

L'usage de logiciels commerciaux est regi par des contrats et protege par des lois 
qui entrainent une responsabilite personnelle de leur utilisateur, que la responsa- 
bilite propre de 1'INSIGU en tant que personne morale ne saurait exonerer. 



Preservation de I'integrite des systemes 
informatiques 

L'utilisateur s'engage a ne pas apporter volontairement de perturbations au bon 
fonctionnement des systemes informatiques et des reseaux (internes ou exterieurs 
a 1'INSIGU), que ce soit par des manipulations anormales du materiel, ou par l'in- 
troduction de logiciels parasites connus sous le nom generique de virus, chevaux 
de Troie, bombes logiques... 
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Tout travail de recherche ou autre risquant de conduire a la violation de la regie 
defmie au paragraphe precedent ne pourra etre accompli qu'avec l'autorisation 
du responsable de l'entite et dans le strict respect des regies qui auront alors ete 
definies. 

II est de la responsabilite de l'utilisateur de s'assurer de l'installation sur l'ordina- 
teur qu'il utilise regulierement de logiciels de protection contre les logiciels pa- 
rasites evoques ci-dessus. Le departement du systeme d'information organise la 
distribution des logiciels de protection appropries. 



Usage des services Internet (Web, mcssagcric, 
forum...) 

L'utilisateur doit faire usage des services Internet dans le cadre exclusif de ses 
activites professionnelles et dans le respect de principes generaux et des regies 
propres aux divers sites qui les proposent ainsi que dans le respect de la legislation 
en vigueur. 

En particulier il doit respecter les regies suivantes. 

Regies de bon usage 

• il ne doit pas se connecter ou essayer de se connecter sur un serveur autre- 
ment que par les dispositions prevues par ce serveur ou sans y etre autorise 
par les responsables habilites ; 

• il ne doit pas se livrer a des actions mettant sciemment en peril la securite 
ou le bon fonctionnement des serveurs auxquels il accede ; 

• il ne doit pas usurper l'identite d'une autre personne et il ne doit pas inter- 
cepter de communications entre tiers ; 

• il ne doit pas utiliser ces services pour proposer ou rendre accessibles aux 
tiers des donnees et informations confidentielles ou contraires a la legisla- 
tion en vigueur ; 

• il ne doit pas deposer des documents sur un serveur sauf si celui-ci le permet, 
ou sans y etre autorise par les responsables habilites ; 

• il doit faire preuve de la plus grande correction a l'egard de ses interlocuteurs 
dans les echanges electroniques par courrier, forums de discussions... 
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• il n'emettra pas d'opinions personnelles etrangeres a son activite profession- 
nelle susceptibles de porter prejudice a 1'INSIGU ou a ses agents ; 

• il doit respecter les lois et notamment celles relatives aux publications a 
caractere injurieux, raciste, pornographique ou diffamatoire. 

Publication sur l'lnternet 

La mise a la disposition du public d'un serveur Web appartenant au domaine 
insigu.fr, ou affichant le logo de 1'INSIGU ou manifestant de toute autre facon 
son appartenance a 1'INSIGU engage la responsabilite de 1'INSIGU et expose son 
image. L'ouverture d'un tel site est done soumise a l'autorisation du departement 
de l'information scientiflque et de la communication. La publication de docu- 
ments sur un site autorise se fera ensuite sous la responsabilite des responsables 
d'entite, sous le controle a posteriori du departement de l'information scientiflque 
et de la communication, et selon les principes enonces par la charte de bonne uti- 
lisation du reseau Internet dans les laboratoires INSIGU, disponible sur le serveur 
http : //www . insigu . f r. 

Responsabilite legale 

La publication d'informations et de documents sur un support public tel que le 
Web entraine une responsabilite personnelle de leur auteur devant la loi, que la 
responsabilite de 1'INSIGU en tant que personne morale ne saurait exonerer. 

Dispositifs de filtrage de trafic 

L'INSIGU met en oeuvre des dispositifs de controle du trafic provenant de l'ln- 
ternet. II s'agit notamment d'un systeme obligatoire de mandataires (proxy) ef- 
fectuant un controle antivirus sur les documents charges ainsi que d'un systeme 
de filtrage d'URL destine a interdire l'acces a certains sites ou certains types de 
documents. 

Toute 1' activite de navigation, les acces autorises ou interdits sont enregistres et 
conserves par 1'INSIGU pour une duree d'un an, conformement a la legislation. 

La mise en ceuvre de cette solution est faite dans le respect de la legislation et a 
donne lieu a une information prealable des instances representatives du personnel 
et du comite d'entreprise. 
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Surveillance et controle de lutilisation 
des ressources 

Pour des necessites de maintenance et de gestion technique, l'utilisation des res- 
sources materielles ou logicielles ainsi que les echanges via le reseau peuvent etre 
analyses et controles dans le respect de la legislation applicable et notamment de 
la loi sur l'informatique et les libertes. 

La mise en ceuvre de ces mesures est faite dans le respect de la legislation et a 
donne lieu a une information prealable des instances representatives du personnel 
et du comite d'entreprise. 



Rappel des principales lois franchises : 

II est rappele que toute personne presente sur le sol francais doit respecter la le- 
gislation francaise, notamment dans le domaine de la securite informatique : 

• la loi du 6/1/78 dite « informatique et liberte », (cf le site web de la CNIL 
http : //www . cnil . fr/) ; 

• la legislation relative a la fraude informatique, (article 323-1 a 323-7 du 
Code penal), (cf. http://www.legifrance.gouv.fr/) 

• la legislation relative a la propriete intellectuelle (cf. http: //www. 
legifrance . gouv . fr/ ) ; 

• la loi du 04/08/1994 relative a l'emploi de la langue francaise, (cf. http: 
//www . culture . f r/culture/dglf/) ; 

• la legislation applicable en matiere de cryptologie, (cf. http://www.ssi. 
gouv.fr/fr/reglementation/index.html). 



Application 

La presente charte s'applique a l'ensemble des agents de 1'INSIGU tous statuts 
confondus, et plus generalement a l'ensemble des personnes utilisant, de facon 
permanente ou temporaire, les moyens informatiques de l'entite ainsi que ceux 
auxquels il est possible d'acceder a distance directement ou en cascade a partir du 
reseau administre par l'entite. 
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Elle sera annexee, a titre conformation, aux contrats de travail conclus avec les 
agents contractuels et vacataires qui auront acces au systeme informatique de leur 
entite. 

Elle sera en outre signee par toutes personnes accueillies a 1'INSIGU et ayant 
acces audit systeme. 
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Une charte de 

I'administrateur 

systeme et reseau 



La multiplication de questions de plus en plus complexes liees a la securite des 
systemes et des reseaux, l'imbrication de plus en plus intime des aspects techniques 
et juridiques de ces questions et le risque accru de consequences judiciaires en 
cas d'erreur incitent a la redaction, au sein de chaque entreprise ou organisation, 
d'une charte de I'administrateur de systeme et de reseau qui rappelle les devoirs, les 
pouvoirs et les droits des ingenieurs et des techniciens qui administrent la securite 
des reseaux, des ordinateurs et en fin de compte du systeme d'information. Le 
present chapitre enonce les principes qui peuvent conduire la redaction d'un tel 
document, puis en propose un exemple pour une entreprise Active. 
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Complexity en expansion et multiplication 
des risques 

L'activite de l'administrateur de systeme et de reseau le confronte a un certain 
nombre de paradoxes : par exemple, il doit configurer son systeme d'achemine- 
ment de messagerie electronique {Mail Transfer Agent, MTA, ou passerelle de 
messagerie) de facon a tenir un journal de tous les messages emis et recus par le 
point d'acces a l'lnternet dont il est responsable, c'est une obligation legale. Mais 
s'il oublie de detruire ces journaux a Tissue d'un delai maximal d'un an, il enfreint 
une autre obligation legale qui resulte des directives de la CNIL. 

Cette activite d' administration de la passerelle de messagerie de Tentreprise lui 
permet de detecter les usages contraires a la loi qui pourraient en etre faits par des 
employes indelicats, dont les exemples les plus courants sont, non limitativement : 

• envoi de messages ou abonnement a des listes de diffusion susceptibles de 
tomber sous le coup des lois qui repriment le racisme et la xenophobie, la 
pedophilie ou le trafic d'etres humains ; 

• communication a des tiers d'informations couvertes par le secret profes- 
sionnel, qui constituent le patrimoine intellectuel de Tentreprise, et dont la 
divulgation a des concurrents est de nature a causer un prejudice certain ; 

• infraction a la legislation sur la propriete litteraire et artistique, lorsque les 
serveurs de Tentreprise sont utilises pour telecharger ou, pire, redistribuer 
des ceuvres musicales ou cinematographiques couvertes par des droits d'au- 
teur ; 

• delit de presse, par Touverture de sites Web ou de forums au contenu sus- 
ceptible d'etre attaque au titre des lois sur la diffamation, le plagiat, etc. 

La constatation de telles infractions lui fait devoir d'y mettre fin, mais dans les cas 
ou les manifestations de ces actes ne sont pas publiques (cas du courrier electro- 
nique), s'il en fait etat dans un rapport a la direction de Tentreprise, il s'expose a 
etre condamne par un tribunal en vertu de la loi qui protege le secret de la cor- 
respondance. En effet, si la jurisprudence (arret du 17 decembre 2001 de la Cour 
d'appel de Paris, « ESPCI », Ecole Superieure de Physique et Chimie industrielle) 
reconnait que l'administrateur detient la possibility technique de lire les contenus 
des messages, celui-ci n'est en revanche pas autorise a les divulguer meme a ses 
superieurs hierarchiques. 
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« Ainsi la delicate mission de I'administrateur sera de mettre fin au comporte- 
ment frauduleux ou prejudiciable sans en informer son superieur hierarchique qui 
dispose pourtant de l'autorite et du pouvoir de decision », note Laurence Freyt- 
Caffin [56]. 

De facon plus generate, I'administrateur de systeme et de reseau a acces a toutes 
les donnees de l'entreprise et des utilisateurs qui stationnent ou circulent sur les 
machines et les reseaux dont il a la responsabilite : ce pouvoir le soumet en per- 
manence a la tentation d'en abuser, meme si ce n'est que pour simplifier sa tache, 
ou rendre service aux utilisateurs, ou pour assurer le bon fonctionnement des in- 
frastructures en question. 

De facon nettement plus embarrassante, il peut recevoir de sa hierarchie des in- 
jonctions contraires aux lois : il est alors place devant le dilemme d'avoir a desobeir 
a ces injonctions, ce qui peut mettre en peril sa situation professionnelle, ou d'en- 
freindre la loi, ce qui risque de le mener devant un juge. 



Regies de conduite 

L'administrateur de systemes et de reseaux dispose de pouvoirs importants : il 
importe de circonscrire avec soin l'usage qu'il peut en faire afin d'eviter les abus, 
notamment par l'atteinte a la confidentialite des echanges et des donnees. 

Secret professionnel 

Le devoir de secret professionnel s'impose aux administrateurs ayant acces aux 
donnees personnelles des utilisateurs dans le cadre de leurs fonctions. 

1. Arret de la Chambre sociale de la Cour de cassation en date du 2 octobre 
2001 : « Attendu que le salarie a droit, meme au temps et au lieu de travail, 
au respect de l'intimite de sa vie privee ; que celle-ci implique en particu- 
lier le secret des correspondances ; que l'employeur ne peut des lors sans 
violation de cette liberte fondamentale prendre connaissance des messages 
personnels emis par le salarie et recus par lui grace a un outil informatique 
mis a sa disposition pour son travail et ceci meme au cas ou l'employeur 
aurait interdit une utilisation non professionnelle de l'ordinateur. » 
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2. Code du Travail, articles L432-2-1 : « Le comite d'entreprise est informe, 
prealablement a leur utilisation, sur les methodes ou techniques d'aide au 
recrutement des candidats a un emploi ainsi que sur toute modification de 
celles-ci. II est aussi informe, prealablement a leur introduction dans l'en- 
treprise, sur les traitements automatises de gestion du personnel et sur toute 
modification de ceux-ci. Le comite d'entreprise est informe et consulte, 
prealablement a la decision de mise en ceuvre dans l'entreprise, sur les 
moyens ou les techniques permettant un controle de l'activite des salaries. » 

Mots de passe 

J'emprunte ici a Patrick Chambet les idees qu'il a exprimees sur la liste de diffusion 
de l'Ossir 1 : 

« — Non ! Les administrateurs ne doivent jamais connaitre les mots de passe des 
utilisateurs. 

— Pourquoi l'administrateur n'a-t-il pas besoin de connaitre les mots de passe ? 

— Un administrateur est, par definition, celui qui possede des privileges eleves. 
En particulier, il peut effectuer toutes les taches necessaires en 1' absence des utili- 
sateurs, comme par exemple la prise de possession de fichiers, la modification des 
permissions d'acces a des ressources, etc. Pour cela, il n'a pas besoin et ne doit pas 
[commettre d'usurpation de personnalite] (se loger avec le login et le mot de passe 
de l'utilisateur). 

S'il doit tout de meme se resoudre a cela, l'utilisateur legitime devrait etre present 
(ce point devrait etre debattu par les juristes de la liste, car le reglement interieur 
de l'entreprise, la charte informatique, la politique de securite et les lois, decrets et 
jurisprudence entrent en jeu). 

II arrive que l'administrateur fasse tourner un craqueur de mots de passe pour 
verifier la robustesse des mots de passe des utilisateurs. Mais dans ce cas, des 
qu'un mot de passe est craque, il doit demander immediatement a l'utilisateur 
de le changer pour un mot de passe de robustesse au moins equivalente. II ne le 
connait done plus. 

— Pourquoi l'administrateur ne doit-il pas connaitre les mots de passe ? 



a http : //www . ossir . org 
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— Tout d'abord pour degager sa responsabilite en cas d'activite delictueuse effec- 
tuee a l'aide d'un compte utilisateur particulier : l'utilisateur en question ne pourra 
plus dire que ce n'est pas lui, mais I'administrateur qui a envoye tel [message elec- 
tro nique]. 

Ensuite pour le respect de la confidentialite des ressources utilisateurs (classifiees 
ou non), meme si, par definition, un administrateur pourra toujours, a l'aide d'une 
action volontaire et avec une intention evidente (plaidable devant un juge si I'ad- 
ministrateur n'a pas recu d'ordre explicite), acceder aux ressources en question. 

D'un cote I'administrateur est protege, de l'autre il devient plus facilement 
condamnable. » 

Les injonctions hierarchiques a violer le secret des mots de passe sont frequentes, 
souvent pour des raisons en apparence excellentes : acceder aux donnees cruciales 
detenues par un utilisateur en vacances et inaccessible en est l'exemple typique. II 
peut etre tres difficile de resister a une telle demande, et l'utilisateur a son retour 
peut detecter l'intrusion en consultant les journaux du systeme. Certes I'admi- 
nistrateur peut detruire ou modifier les elements de journalisation relatifs a son 
action, mais cette alteration meme des journaux peut etre detectee, quoique plus 
difficilement, et en cas de comparution devant un tribunal il aura ainsi considera- 
blement aggrave sa faute. Si pour une raison ou pour une autre les relations entre 
le possesseur des donnees et son employeur ou I'administrateur sont conflictuelles, 
on voit toutes les consequences facheuses que peut entrainer cet enchainement de 
circonstances. II convient done d'eviter absolument de commettre de telles actions. 



Proposition de charte 



La presente charte de I'administrateur de systeme et de reseau de l'INSIGU 2 est 
destinee a determiner les devoirs, les pouvoirs et les droits des ingenieurs et des 
techniciens qui administrent la securite des reseaux, des ordinateurs et du systeme 
d'information de l'INSIGU. 



L'Institut national des sciences informatiques et geographiques de l'univers (INSIGU) est un 
organisme de recherche fictif, pour les besoins de notre exemple. 
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Cette charte est promulguee en reference a la charte de l'utilisateur des ressources 
informatiques et des services Internet de 1'INSIGU (cf. chapitre 8 page 185), 
quelle complete et dont elle est inseparable. 

Definitions 

Les entites de 1'INSIGU, ses ressources informatiques, ses services Internet et les 
utilisateurs du systeme d'information qu'ils constituent sont definies ici comme 
dans la charte de l'utilisateur des ressources informatiques et des services Internet 
de 1'INSIGU (cf. section 8 page 186). 

\J administrateur d'un systeme ou d'un reseau de 1'INSIGU est toute personne, 
employee ou non par 1'INSIGU, a laquelle a ete confiee explicitement et par ecrit, 
sous la forme d'une lettre de mission, d'un profil de poste annexe au contrat de 
travail ou d'un contrat de prestations de service, la responsabilite d'un systeme 
informatique, d'un reseau ou d'un sous-reseau administres par une entite de 1'IN- 
SIGU, ou de plusieurs de ces elements. Une personne a qui a ete conferee une telle 
responsabilite sera designee dans la suite de ce document par le terme administra- 
teur. L'ensemble des elements sur lesquels s'exerce cette responsabilite constitue 
le perimetre d'activite de 1' administrateur. 

Le comite de coordination de securite du systeme d'information (SSI) est consti- 
tue de responsables charges d'emettre des regies et des recommandations dans le 
domaine SSI, de prendre les mesures appropriees pour qu'elles soient mises en vi- 
gueur, et d'organiser les activites de formation, d'information et de sensibilisation 
de nature a ameliorer les conditions de leur application ; il est en outre charge de 
suivre la juridiction et notamment les arretes et jurisprudences. Les membres de 
ce comite de coordination sont le Responsable de securite des systemes d'informa- 
tion (RSSI) de 1'INSIGU, le responsable de la securite operationnelle au sein du 
departement du systeme d'information (DSI) de 1'INSIGU, le correspondant in- 
formatique et libertes de 1'INSIGU et d'autres personnes designees par le directeur 
general de 1'INSIGU ou son representant autorise, notamment un representant du 
departement des affaires juridiques. 

Les devoirs, les pouvoirs et les droits de 1' administrateur, definis dans la presente 
charte, constituent ensemble les responsabilites SSI de 1' administrateur. 
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Les consignes du comite de coordination SSI s'imposent aux administrateurs de 
systemes et de reseaux pour l'exercice de leurs responsabilites SSI dans leur peri- 
metre d'activite. 

Responsabilites du comite de coordination SSI 

Surveillance et audit 

Le comite de coordination SSI organise la surveillance et l'audit de toutes les ac- 
tivites des systemes et de tous les traflcs reseau sur les infrastructures administrees 
par l'INSIGU. 

Pour ce faire, le comite de coordination SSI est habilite a donner des consignes 
de surveillance, de recueil d'information et d'audit aux administrateurs concernes. 

Controle d'acces 

Le comite de coordination SSI definit des regies de controle d'acces aux systemes 
et aux reseaux conformes a la presente charte et a la charte de l'utilisateur des 
ressources informatiques et des services Internet de l'INSIGU. 

Verification 

Le comite de coordination SSI et les administrateurs concernes sont habilites 
a entreprendre toutes actions appropriees pour verifier la bonne application des 
regies de controle d'acces aux systemes et aux reseaux definies a 1' article precedent, 
ainsi que pour detecter leurs vulnerabilites. 

Responsabilites de I'administrateur de systeme et de reseau 
Enregistrement des incidents de securite 

L'administrateur conserve une trace ecrite des incidents de securite survenus dans 
son perimetre d'activite. Cette trace doit comporter les indications de date et 
d'heure des evenements considered, et une description de ces evenements. 

Notification des incidents de securite 

Les administrateurs de systeme et de reseau sont tenus de declarer tout incident 
de securite au RSSI et au responsable de la securite operationnelle. Les directives 
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du RSSI et du responsable de la securite operationnelle pour des actions relatives 
aux incidents sont mises en application sans delais. 

Journalisation et archivage 

L'administrateur active sur les systemes dont il a la responsabilite les journaux 
necessaires a l'identification et a la reconstitution des sequences d'evenements qui 
pourraient constituer un incident de securite, ou qui pourraient faire l'objet d'une 
commission rogatoire emise par les autorites judiciaires. II archive les donnees 
ainsi recueillies dans des conditions propres a en assurer l'integrite, la disponibilite, 
l'authenticite et la confidentialite. 

II mene cette activite de journalisation et d'archivage dans des conditions qui ga- 
rantissent le respect des lois et des reglements relatifs aux libertes publiques et 
privees, au secret des correspondances, au droit d'acces a l'information, et il veille 
notamment a detruire tous les journaux qui comportent des donnees nominatives 
a l'expiration d'un delai qui ne peut exceder un an, ou le delai legal a la date consi- 
dered. 

Parmi les textes legislatifs et reglementaires qui s'appliquent a cette activite, il 
convient d'accorder une attention particuliere a la norme simplified n° 46 de la 
Commission nationale informatique et libertes, « destinee a simplifier l'obligation 
de declaration des traitements mis en ceuvre par les organismes publics et prives 
pour la gestion de leurs personnels » . 

Examen des journaux 

L'administrateur examine regulierement les journaux mentionnes a l'article ci- 
dessus. 

Derogations aux regies SSI 

Les regies SSI mentionnees dans la presente charte, dans la charte de l'utilisateur 
des ressources informatiques et des services Internet de 1'INSIGU, ou edictees 
par le RSSI de 1'INSIGU, par le responsable de la securite operationnelle au sein 
du DSI de 1'INSIGU ou par le comite de coordination SSI s'imposent a tous 
les utilisateurs des systemes d'information de 1'INSIGU, qu'ils soient on non des 



3 http://www.cnil.fr/index.php?id=1231 
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employes de 1'INSIGU. Les administrateurs de systemes et de reseaux de l'IN- 
SIGU ont pour mission de les mettre en ceuvre et de les faire respecter dans leur 
perimetre d'activite. 

Les responsables d'entites qui voudraient passer outre ces regies SSI, ou entre- 
prendre des actions qui derogeraient a ces regies, doivent : 

• remettre a I'administrateur responsable des infrastructures concernees un 
document ecrit et signe par lequel ils assument explicitement la responsa- 
bilite de cette derogation, des risques qui en decoulent, et de leurs conse- 
quences ; 

• obtenir du directeur general de 1'INSIGU ou de son representant designe 
une decharge ecrite pour le RSSI, le DSI et affilies. 

Les utilisateurs qui ne seraient pas responsables d'entites et qui voudraient be- 
neficier de telles derogations doivent obtenir qu'elles soient endossees par leur 
responsable d'entite, dans les conditions indiquees a l'alinea precedent. 

Identification des utilisateurs et controles d'acces 

Dans leur perimetre d'activite, les administrateurs responsables sont seuls habilites 
a mettre en place et a administrer les systemes d'identification et d'authentification 
des utilisateurs, conformes aux directives du comite de coordination SSI. II en va 
de meme pour les dispositifs de controle d'acces aux systemes, aux reseaux et aux 
donnees. 

Sauf exception formulee par un document ecrit signe d'un responsable d'entite, 
seuls I'administrateur local et ses collaborateurs immediats possedent les droits 
d'administrateur sur les postes de travail des utilisateurs des SI de 1'INSIGU. 

Audits periodiques 

Les administrateurs precedent deux fois par an a un audit des comptes des utili- 
sateurs et des droits d'acces associes, pour verifier leur validite et leur exactitude. 
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Mise en oeuvre et litiges 

Rapport des violations des regies SSI 

Pour toute violation des regies SSI qu'il est amene a constater, l'administrateur 
etablit un rapport ecrit destine au comite de coordination SSI et a ses responsables 
hierarchiques. 

Veille SSI 

Les administrateurs exercent regulierement une activite de veille scientifique et 
technologique dans le domaine SSI. lis sont abonnes aux listes de diffusion qui 
publient les decouvertes de vulnerability . lis participent notamment aux activi- 
tes de formation, d'information et de sensibilisation entreprises par le comite de 
coordination SSI. 

Attitude a legard des violations de la loi 

Lorsque l'administrateur constate des violations de la loi dans son perimetre d'ac- 
tivite, il en fait rapport au comite de coordination SSI et a ses responsables hie- 
rarchiques, qui prendront les mesures adequates afin de coordonner leurs actions 
avec les autorites judiciaires. 

Attitude a legard des violations des regies SSI 

La direction de l'INSIGU, ou son representant qualifie, peut revoquer le compte 
et les droits d'acces au reseau et aux donnees d'un utilisateur qui aurait viole les 
regies SSI mentionnees dans la Charte de l'utilisateur des ressources informatiques 
et des services Internet de l'INSIGU. 
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Nouveaux protocoles, 
nouvelles menaces 



Depuis quelques annees, des protocoles qui ne sont peut-etre plus nouveaux d'un 
point de vue chronologique, mais qui meritent encore ce qualificatif par l'inno- 
vation qu'ils ont incarnee par rapport aux protocoles traditionnels de l'lnternet, 
fondes sur le modele client-serveur, posent aux administrateurs de reseaux de nou- 
velles questions, notamment dans le domaine de la securite. Le present chapitre, 
apres un rappel du modele traditionnel, presente les deux principales families de 
ces protocoles novateurs : les systemes poste a poste (peer to peer) et la telephonie 
par Internet. 



Le modele client-serveur 

Dans le modele traditionnel, un utilisateur de l'lnternet agit au moyen d'un or- 
dinateur equipe d'un logiciel appele client qui s'adresse, a distance, a un logiciel 
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Ainsi, le logiciel avec lequel vous ecrivez votre courrier electronique est un client 
de messagerie, ou selon le jargon technique un Mail User Agent (MUA, UA), ou 
encore, pour le designer par le protocole employe pour expedier le courrier, un 
client SMTP (Simple Mail Transport Protocol). Ce client va etablir une communi- 
cation avec un serveur SMTP, encore appele Mail Transfer Agent (MTA) ou passe- 
relle de messagerie, avec lequel il va d'abord echanger quelques donnees de service 
afin que l'un et l'autre identifient leur interlocuteur et la nature des echanges a 
venir, puis le client va envoyer au serveur des messages que celui-ci se chargera 
de faire parvenir a leurs destinataires, eventuellement par l'intermediaire d'autres 
MTA, dits relais. Notons que votre logiciel de courrier, qui est un client SMTP 
pour envoyer des messages, est pour les recevoir un client Post Office Protocol (POP) 
ou Internet Message Access Protocol (IMAP), en effet, en regie generate, ce ne sont 
pas les memes protocoles qui servent a emettre et a recevoir des messages de cour- 
rier electronique. 

De la meme facon, le logiciel navigateur avec lequel vous explorez le Web, que 
ce soit Internet Explorer, Safari ou Firefox, est un client Web qui s'adresse a un 
serveur Web (souvent anime par le logiciel Apache) pour lui demander de lui en- 
voyer les pages que vous desirez consulter. Les communications auront lieu selon 
le protocole HyperText Transport Protocol (HTTP). 

A chacun des protocoles que nous avons evoques est attribue, par convention, 
un numero de port , et le serveur du protocole ecoute les connexions entrantes 
en provenance du reseau qui comportent ce numero comme port de destination ; 
c'est ainsi que les serveurs detectent les connexions qui leur sont destinees : port 
25 pour SMTP, 80 pour HTTP, 110 pour POP3, 143 pour IMAP, 137, 138, 
139 et 445 pour Netbios et les services associes, etc. 

Au bon vieux temps oil les protocoles fonctionnaient ainsi, la securite du reseau 
etait un jeu d'enfant (enfin presque). Un simple routeur muni de listes de controles 
d'acces (ACL) pouvait faire office de pare-feu : si le reseau comporte un serveur 
Web public, j'autorise les connexions entrantes sur le port 80 a destination de 
son adresse IP, et je les interdis pour toutes les autres adresses. Si j'ai une pas- 
serelle de messagerie (MTA), j'autorise le trafic SMTP sortant a partir de son 
adresse, et uniquement a partir de celle-la, notamment parce que beaucoup de 
virus modernes comportent un petit agent SMTP pour envoyer des informations 



Pour la definition An port, voir l'encadre page 121. 
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a leur maitre (ou du courriel non sollicite a des millions d'internautes !) Je n'au- 
torise a priori aucune connexion entrante, le seul trafic entrant sera constitue de 
connexions initialisers a partir de l'interieur du reseau, sauf pour les serveurs pu- 
blics dument repertories et places en DMZ (voir le chapitre 6 page 105). Cela 
s'appelle le filtrage par port, et les gens qui faisaient cela soigneusement etaient 
jusqu'a ces dernieres annees relativement a l'abri des mauvaises surprises, ils pou- 
vaient se dire que leur reseau etait raisonnablement bien protege. 

II faut continuer a faire soigneusement du filtrage par port, mais cela ne sufflt 
plus : le monde a change pour devenir plus cruel ! 



Versatility des protocoles : encapsulation HTTP 

Tous en HTTP ! 

Le premier coup de hache dans le modele du filtrage par port est venu de l'uni- 
versalite du protocole HTTP sur le port 80 : comme a peu pres tous les reseaux 
comportent un serveur Web et laissent de ce fait circuler librement les connexions 
a destination du port 80, des developpeurs de protocoles astucieux encapsulent 
leurs paquets de donnees dans des paquets HTTP, ce qui leur permet de franchir 
les pare-feu sans encombre avant d'etre « decapsules » pour accomplir leur mission. 
II est aussi assez courant de recourir au meme precede avec la version chiffree du 
protocole, HTTPS (port 443), ce qui ajoute une difflculte : les paquets encapsules 
sont chiffres et il est done impossible de les analyser, meme pour un pare-feu qui 
ferait de l'« inspection en profondeur ». Un pare-feu qui se fie aux numeros de port 
n'y voit... que du feu ! 

HTTPS n'est rien d'autre que HTTP encapsule dans TLS (Transport Layer Secu- 
rity). En general le serveur est authentifie par un certificat X509, l'internaute peut 
s'authentifier par l'intermediaire d'un serveur RADIUS (e'est une des meilleures 
methodes), ou par un des autres precedes proposes par les logiciels serveur. 

Vertus de HTTPS 

L'encapsulation de tout et de n'importe quoi dans un protocole omnipresent 
comme HTTP/HTTPS cree des difficultes au responsable de securite, mais peut 
aussi lui procurer des solutions a quelques problemes. 
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En fait HTTPS a permis un regain d'essor de l'lnternet, en facilitant considera- 
blement la mise en place de plateformes de commerce electronique : au depart 
technologie de pointe reservee a de grandes institutions financieres, le paiement 
en ligne est aujourd'hui accessible aux PME pour un prix abordable et dans de 
bonnes conditions de securite. 

HTTPS est egalement un candidat prometteur pour le remplacement des appli- 
cations client-serveur : la substitution est seduisante, parce que, avec les solutions 
client-serveur traditionnelles, le logiciel client doit etre deploye sur tous les postes 
de travail, alors que le navigateur necessaire a HTTPS est deja deploye partout. 
Des langages comme PHP et JavaScript ont rendu le developpement facile ; si 
vraiment le projet est tres volumineux ou complexe, on peut utiliser Java. 



Protocoles poste a poste (peer to peer) 

Definition et usage du poste a poste 

Le second coup de hache est venu des protocoles peer to peer (souvent abrege en 
P2P), ce que Wikipedia propose de traduire en francais ^-ax poste a poste et decrit 
ainsi : 

« P2P designe un modele de reseau informatique dont les elements (les noeuds) 
ne jouent pas exclusivement le role de client ou de serveur mais fonctionnent des 
deux facons, en etant a la fois clients et serveurs des autres nceuds de ces reseaux, 
contrairement aux systemes de type client-serveur, au sens habituel du terme. (...) 

Les reseaux P2P permettent de communiquer et de partager facilement de l'in- 
formation — des fichiers le plus souvent, mais egalement des calculs, du contenu 
multimedia en continu (streaming), etc. sur Internet. Les technologies P2P se sont 
d'ailleurs montrees si efficaces que le P2P est considere par certains comme l'etape 
ultime « de la liberte et de la democratie » sur Internet. Sans aller jusque-la, on 
considere souvent que le P2P porte (et est porte par) une philosophic de partage 
et un profond esprit communautaire. » 

Pour une presentation des evolutions recentes on pourra consulter la communica- 
tion de Franck Cappello aux journees JRES 2005 [26]. 
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Ces protocoles poste a poste sont utilises massivement par les internautes equipes 
d'une connexion a haut debit pour echanger des fichiers aux contenus musicaux 
ou cinematographiques, au titre de ce que le droit francais nomme la copie privee, 
et le droit americainy»zr use. 

Les industries du disque et du cinema n'etaient pas preparees a cette extension 
de la copie privee, a laquelle elles ont reagi principalement par le recours a la 
loi. Les premiers protocoles P2P, tel Napster, comportaient un serveur central qui 
recueillait et distribuait les adresses des participants, ce qui a permis aux industriels 
d'engager contre le proprietaire de ce serveur des actions en justice, et d'obtenir 
sa fermeture en 2001. Napster est devenu maintenant un site de telechargement 
legal de musique, en accord avec les ayant-droit. 

Apres cette experience, les protocoles poste a poste actuels, tels KaZaA, Skype, 
eMule ou BitTorrent, ne comportent plus de serveur central, ce qui oblige les 
entreprises qui souhaiteraient poursuivre leurs utilisateurs a les identifier un par 
un. 

Problemes a resoudre par le poste a poste 

Les noeuds des systemes poste a poste, quasiment par definition, sont des ordi- 
nateurs situes a la peripherie de l'lnternet, et qui sont le plus souvent soit des 
machines personnelles dans un domicile prive, soit des postes de travail indivi- 
duels au sein d'une entreprise qui n'a pas vraiment prevu qu'ils soient utilises pour 
du poste a poste, voire qui essaye de l'interdire. Les consequences techniques de 
cette situation sont les suivantes : 

• les ordinateurs concernes sont souvent eteints ; 

• ils n'ont souvent pas d'adresse IP permanente... 

• ... voire pas d'adresse routable (adresses dites « NAT (Network Address 
Translation) », cf. page 147). 

II faudra, malgre ce contexte d'amateurisme, que tous les noeuds puissent etre a 
la fois clients et serveurs, qu'ils puissent communiquer directement deux a deux, 
et que chacun en fonction de ses capacites contribue au fonctionnement general 
de l'infrastructure. II faut qu'un nceud qui rejoint le reseau puisse decouvrir ceux 
qui offrent les ressources qui l'interessent, selon le schema de la figure 10.1 page 
suivante. 



Avenir de la securite du systeme d'information 



Quatrieme partie 



Figure 10.1 

Un poste client tente de rejoindre une 
communaute de pairs. 
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source : Franck Cappello 



Pour surmonter les difflcultes enumerees plus haut et atteindre ces objectifs, un 
systeme poste a poste comporte quatre composants fondamentaux : 

1. une passerelle, qui publie l'adresse IP d'autres noeuds et permet a l'utilisateur 

de choisir une communaute au sein de laquelle il va echanger des donnees, 

comme represente par la figure 10.2 ; 



Figure 10.2 
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deja connecte. 
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2. un protocole reseau pour l'etablissement des connexions et l'execution des 
operations de transport de donnees ; un element crucial de ce protocole sera 
bien sur son aptitude au franchissement de pare-feu, comme indique par 
la figure 10.3 ; en effet la communication poste a poste serait impossible 
dans le respect des regies de fHtrage qu'imposent la plupart des reseaux, 
notamment en entreprise ; 



Figure 10.3 
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3. un systeme de publication de services et d'annonces de ressources, qui per- 
met a chacun de contribuer a l'ceuvre commune ; 

4. un systeme, symetrique du precedent, de recherche de ressources, qui per- 
met de trouver ce que Ton cherche, tel morceau de musique ou tel film, ou 
le chemin d'acces a tel telephone reseau. 



Le poste a poste et la securite 

Filtrer tel ou tel protocole poste a poste est un objectif que peut se fixer un admi- 
nistrates de reseau, ou qui peut lui etre fixe par son employeur ou son client. En 
effet certains de ces protocoles peuvent etre utilises a des fins qui enfreignent les 
legislations relatives a la propriete industrielle, et ils peuvent aussi contrevenir aux 
regies de securite d'un organisme. 

Dans l'lnternet traditionnel, un tel objectif pouvait etre atteint par le procede du 
filtrage de port, que nous avons mentionne aux pages 123 et 207. Avec les proto- 
coles poste a poste, mais aussi avec d'autres protocoles, comme H323, destine a 
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acheminer la voix et la video sur IP, le filtrage par port est impossible parce qu'ils 
font des ports un usage dynamique, c'est-a-dire qu'ils utilisent des numeros de 
port variables et qu'eventuellement ils en changent en cours de session. 

Exemples : KaZaA et Skype 

KaZaA est un systeme P2P d'echange de fichiers, aujourd'hui un peu demode. 
Skype, lance par la meme equipe, est un systeme de telephonie par Internet. Les 
deux ont eu un succes considerable, base sur un meme modele : pour la plupart 
des usages, c'est gratuit, sans etre d'ailleurs libre, puisque le code source du logiciel 
n'est pas public. Les protocoles sont secrets, et surtout furtifs. Ils fonctionnent en 
l'absence de tout serveur central (enfin presque, en ce qui concerne Skype), ce qui 
leur evite les desagrements subis en son temps par le createur de Napster. Ainsi, 
meme si certains internautes en font un usage contraire aux lois, les auteurs ne 
peuvent etre poursuivis. 

II semble bien que la plus grande part des echanges de donnees effectues au moyen 
de KaZaA concerne des enregistrements musicaux et cinematographiques, et que 
ces echanges ne soient pas approuves par les titulaires des droits d'auteur des 
oeuvres en question. Les entreprises soucieuses d'eviter les embarras juridiques 
seront bien inspirees d'interdire a leurs employes d'utiliser KaZaA sur leur lieu de 
travail, d'autant plus que les ordinateurs des employes qui l'utiliseraient peuvent, 
a leur insu, devenir des serveurs KaZaA et diffuser musique et films a la planete 
entiere, ce qui en general attire l'attention des ayants droit et peut occasionner de 
lourdes condamnations. 

Le succes public de ces deux systemes a ete considerable. Nous examinerons plus 
en detail Skype, le plus recent. 

Description de Skype 

Skype est un systeme poste a poste de communication vocale sur IP lance en aout 
2003 par la societe luxembourgeoise Skype Technologies S.A., fondee par Janus 
Friis et Niklas Zennstrom, les createurs de KaZaA ; cette societe a ete rachetee 
par eBay en septembre 2005. Comme pour KaZaA, les clients Skype cherchent 
sur le reseau d'autres clients Skype avec lesquels ils vont entrer en communication, 
et a partir de la ils rejoignent un reseau virtuel au moyen duquel ils vont tenter de 
localiser les correspondants avec lesquels ils souhaitent etablir une communica- 
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tion. A la difference de KaZaA, qui etait finance essentiellement par la publicite, 
le systeme Skype tire ses revenus de la facturation d'un service payant, celui des 
passerelles qui permettent a ses utilisateurs d'entrer en communication avec un 
abonne du reseau telephonique ordinaire ; les methodes d'acces a ces passerelles 
s'appellent Skypeln et SkypeOut. 

Skype est disponible pour les systemes Windows, MacOS X, PocketPC et Li- 
nux. II permet l'etablissement d'une communication gratuite et directe entre deux 
ordinateurs equipes du logiciel Skype, d'un micro et d'un haut-parleur, via l'lnter- 
net. Skype comporte egalement un systeme de messagerie instantanee qui permet 
l'echange de messages ecrits et de fichiers. Les passerelles payantes permettent 
d'atteindre un abonne au telephone ordinaire. 

Skype permet egalement 1' organisation de teleconferences et, depuis la version 
2.0 de Janvier 2006, de visioconferences, a condition que les participants soient 
equipes de webcams. De l'avis des utilisateurs, il semble que la qualite du son soit 
excellente, meilleure que celle des concurrents. Les communications qui circulent 
sur le reseau sont chiffrees, ce qui assure une bonne confidentialite. 

Comme le souligne Simson L. Garfinkel [58], le succes de Skype est du notamment 
au fait qu'il est bien plus facile a installer et a utiliser que les systemes concurrents. 
De surcroit, Skype, comme KaZaA, est concu de facon a pouvoir franchir sans 
encombre les pare-feu et les dispositifs de traduction d'adresse (NAT). L'efficacite 
des methodes de franchissement de Skype n'est pas sans laisser craindre a certains 
employeurs qu'elles soient utilisees par leurs employes pour des usages prives, et 
les administrateurs de ces reseaux, ainsi que les responsables de securite, ne laissent 
pas d'etre agaces par ce logiciel concu specialement pour faire echec aux mesures 
de securite et de filtrage qu'ils s'efforcent de mettre en place. On craint egalement 
que des nceuds espions puissent etre introduits dans le reseau Skype. 

Le protocole utilise par Skype n'est pas publie, non plus que le code source du 
logiciel. Neanmoins ce dernier a pu etre analyse par Fabrice Desclaux [39] et Phi- 
lippe Biondi [16]. La tache n'est pas facile : le programme executable est chiffre sur 
le disque dur, et n'est dechiffre qu'une fois charge en memoire vive. En plusieurs 
dizaines d'emplacements le programme verifie l'integrite de son propre texte, de 
facon a eviter qu'un candidat a la retro-ingenierie du protocole ou du code ne 
reussisse a l'instrumenter. 
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Skype est-il vraiment poste a poste ? 

Une fois la communication etablie entre deux postes, le fonctionnement de Skype 
obeit bien aux principes « poste a poste ». Neanmoins plusieurs aspects du systeme 
s'ecartent de ces principes. 

L'utilisateur de Skype s'identifie aupres du serveur central ui . skype . com, situe 
semble-t-il aux Pays-Bas, qui effectue i'authentification des utilisateurs et des lo- 
giciels Skype. L'authentification repose sur une signature par bicle RSA. 



Figure 10.4 

Principe de fonctionnement de Skype 

(source : Salman A. Baset et Henning 

Schulzrinne). 
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Le reseau Skype comporte des « supernoeuds » ; tout nceud Skype peut devenir su- 
pernceud, a l'insu de son utilisateur, s'il dispose d'une adresse IP publique et qu'il 
n'est pas situe derriere un pare-feu. Les supernoeuds peuvent ainsi servir de relais 
et de mandataires aux noeuds moins bien lotis, qui les decouvrent par des pro- 
cedes non publies. Skype n'offre aucun dispositif qui permettrait a un utilisateur 
d'interdire a sa station de devenir supernoeud. 
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Les methodes Skypeln et SkypeOut pour telephoner a des abonnes de reseaux 
ordinaires reposent sur des serveurs Skype repartis dans differents pays. 

Securite de Skype et d'autres protocoles 

Simson L. Garfinkel [58], Salman A. Baset et Henning Schulzrinne [14] se sont 
livres a une analyse detaillee du systeme, et notamment des protocoles et des dis- 
positifs de securite qu'il utilise. Garfinkel signale un certain nombre de moyens qui 
pourraient permettre a un attaquant de compromettre le systeme sur le poste de 
travail d'un utilisateur, de retrouver l'historique des messages instantanes echan- 
ges, de compromettre des couples nom d'utilisateur - mot de passe. Ces failles 
sont plutot moins nombreuses et moins graves que celles d'autres systemes ana- 
logues dont le fonctionnement suppose souvent l'abolition de toute mesure de 
securite serieuse : nous pensons a l'utirisation na'ive de systemes de visioconfe- 
rence bases sur le protocole H323, dont l'utilisation a peu pres sure requiert les 
precautions suivantes : 

1. mise en place d'un mandataire, par exemple Gatekeeper ■; 

2. utilisation de postes de travail depourvus de toutes donnees sensibles, sur 
un sous-reseau reserve a cet usage. 

En fait, la nature meme des usages de ces protocoles les expose a des compro- 
missions, qui sont du meme ordre que celles qui affectent le reseau telephonique 
ordinaire, meme si les techniques d'attaque sont differentes : les delais d'etablis- 
sement et d'execution de la communication la rendent difficilement furtive. Les 
precautions a prendre peuvent difficilement recourir a un chiffrement supplemen- 
taire sur le poste client. A l'interieur d'une entreprise, l'usage au sein d'un VPN 
correctement configure peut etre une solution. 

Filtrer Skype ? 

Filtrer les protocoles de Skype au moyen d'un pare-feu classique s'avere une en- 
treprise compliquee. En effet Skype est con5u pour eviter ce filtrage : les nu- 
meros de port sont variables, les transactions mettent en jeu differentes stations. 
Neanmoins, il existe des moyens de filtrer assez efficacement Skype ou KaZaA 
(le probleme a resoudre est similaire). Les methodes employees sont heuristiques 
et reposent sur 1' analyse comportementale du protocole. II faut observer pendant 
un certain laps de temps le deroulement des echanges (ce qui suppose leur jour- 
nalisation) ; l'analyse de ces observations permet la detection d'une « signature » 



Avenir de la securite du systeme d'information 



Quatrieme partie 

des transactions Skype, notamment par 1'identification de sequences et de tem- 
porisations caracteristiques. Une implementation d'une telle methode existe sur la 
base du logiciel libre IP Tables I Netfilter, qui permet de realiser un pare-feu (cf. 
page 125). 

Nous reviendrons sur ces questions du flltrage des protocoles poste-a-poste au 
chapitre suivant, a la page 238, lorsque nous verrons les mesures de prohibition et 
de retorsion contre les echanges poste a poste envisages par les editeurs de films 
et de disques. 

Franchir les pare-feu : vers une norme ? 

Comme nous l'avons note ci-dessus, le franchissement des pare-feu et des dispo- 
sitifs de traduction d'adresses est un des problemes a resoudre pour faire du poste 
a poste au grand large. Pour remedier a la situation presente, ou chaque protocole 
utilise sa propre methode plus ou moins efficace et plus ou moins heuristique, est 
apparu a 1'IETF Internet Engineering Task Force le projet de RFC 3489 : STUN 
(Simple Traversal of UDP Trough NAT). L'idee est la suivante : comme de toute 
facon les candidats au franchissement arriveront a leurs fins, autant leur permettre 
de le faire avec un minimum de conformite avec l'oithodoxie protocolaire. Yves 
Drothier, du Journal du Net, decrit la chose ainsi : 

« L'interet de STUN est de reconnaitre les dispositifs de securite places entre le 
routeur NAT (les routeurs NAT agissent comme des pare-feu, faisant le lien entre 
les adresses privees et les adresses publiques lors de communication IP) et le reseau 
public afin d'etablir les communications malgre le flltrage. 

STUN identifie les differents dispositifs de securite NAT en emettant un message 
de l'infrastructure cliente vers le serveur STUN situe en aval du routeur NAT. Ce 
message explore ainsi quels sont les ports et les adresses IP utilises par les dis- 
positifs de securite NAT pour router le message. Ce sont ces donnees qui seront 
utilisees par la suite lors d'appels entrants ou sortants pour etablir la communica- 
tion. » 

Comme STUN ne resout pas tous les problemes, un autre protocole, Traversal 
Using Relay NAT (TURN) , a ete mis au point notamment pour les configurations 
avec traduction d'adresse symetrique (symmetric NAT). Un routeur NAT syme- 
trique etablit un chemin en fonction de l'adresse IP de i'emetteur et de son port 
d'acces mais aussi en fonction de ces memes informations chez le destinataire. Le 
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chemin ainsi cree echappe au serveur STUN puisqu'il peut changer en fonction 
du destinataire appele. 



Telephonic IP : quelques remarques 

La telephonie sur IP (Internet Protocol) et sa securite constituent un sujet qui me- 
riterait un livre entier, nous n'aurons done pas la pretention de le traiter ici, mais 
nous livrons au lecteur quelques remarques de mise en garde qui doivent beau- 
coup a des exposes d'Herve Schauer^, de Nicolas Fischbach et de Loi'c Pasquiet 
auxquels le lecteur pourra se reporter pour de plus amples developpements. 

La premiere chose a signaler au sujet de la telephonie sur IP, e'est quelle est au- 
jourd'hui inevitable : si Ton consulte les fournisseurs de materiel telephonique pour 
un projet qui depasse la dizaine de postes, toutes les reponses seront en telephonie 
sur IP, ou peu s'en faut. II est done pratiquement impossible d'acheter autre chose, 
la telephonie traditionnelle a vecu, bientot elle ne sera plus maintenue. 

Une grande variete de protocoles peu surs 

La transmission de la voix sur IP recouvre en fait une grande variete de protocoles : 

• H323 est un protocole (en voie de disparition pour la telephonie) adapte 
d'ISDN et normalise par l'Union internationale des telecommunications. 
Ce protocole, par sa conception, n'offre pas de bonnes garanties de secu- 
rite : les risques encourus sont l'ecoute des communications, l'usurpation 
d'identite et le deni de service. 

• SIP est un protocole de signalisation normalise par 1'IETF (RFC 3261) ; il 
doit etre associe pour le transport de la voix a un autre protocole, qui peut 
etre RTP, RTCP ou RTSP. Les risques encourus sont les memes qu'avec 
H323. 

• SCCP est un protocole de la maison Cisco; les risques sont toujours les 
memes, ainsi d'ailleurs que pour les protocoles prives des autres fournisseurs 
(Alcatel, Avaya...). 



2 http 
3 http 
4 http 



//www. hsc.fr/ressources/presentations/tenor06-voip- sec/ 
//www. ossir.org/jssi/jssi20O6/supports/lB.pdf 
//www . ossir . org/ j ssi/ j ssi2006/supports/2A . pdf 
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• MGCP (Multimedia Gateway Control Protocol) est normalise par 1'IETF 
(RFC 3435) et offre de meilleures garanties de securite que les precedents. 
Ce protocole est deploye par les operateurs sur leurs reseaux ADSL. 

• Signalons aussi plusieurs methodes d'encapsulation de GSM dans IP, par 
lesquelles les operateurs tentent de lutter contre Skype. 

Ainsi, aucun de ces protocoles n'offre intrinsequement de bonnes garanties de 
securite, meme si Herve Schauer credite MGCP d'une plus grande surete due no- 
tamment a 1' absence de toute fonction « intelligente » dans le poste telephonique. 
Ce qui ne veut pas dire que Ton ne peut pas les utiliser en prenant des precautions 
supplementaires. 

Precautions pour la telephonie IP 

Les precautions a prendre pour la telephonie IP sont somme toute classiques : 

• cloisonnement des reseaux, specialisation des VLAN ; 

• filtrage des adresses MAC et du trafic IP ; 

• authentification et chiffrement, etc. 

A quoi s'ajoute la mise en service des fonctions de securite sur les terminaux 
telephoniques. Ces fonctions de securite sont notamment destinees a empecher 
l'usurpation d'identite et l'ecoute des communications. II est a noter que pour dis- 
poser de ces fonctions indispensables il faut renouveler entierement le pare de 
terminaux telephoniques, et ne pas se contenter des materiels « premier prix ». 

II faut avoir en tete les points suivants : 

1. Le reseau telephonique classique est un element crucial de la securite des 
personnes et des biens : il permet de donner l'alerte en cas d' accident de 
personne, d'incendie, d'acte criminel ; il doit done fonctionner sept jours sur 
sept, 24 heures sur 24. Adopter la telephonie sur IP impose que le reseau 
informatique soit soumis aux memes exigences, or actuellement ce n'est pas 
le cas. II faudra done augmenter la capacite des equipements actifs, puis 
les doubler, et prevoir du personnel en astreinte la nuit et les jours feries. 
Sans oublier les installations destinees a secourir l'alimentation electrique 
de ces equipements. Les consequences financieres et organisationnelles ne 
sont pas negligeables. 

2. Des services informatiques comme le DNS ou DHCP deviennent critiques. 
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3. Dans de nombreux cas, les entreprises qui ont adopte la telephonie sur IP 
ont ete amenees a renouveler entierement ou en grande partie leur pare 
de terminaux, en sachant que les terminaux les moins chers ne donnent 
generalement pas satisfaction, notamment parce qu'ils sont depourvus des 
fonctions de securite. 

4. La perspective de faire des economies grace au partage du cablage est le plus 
souvent illusoire : les systemes d'authentification de type 802. lx exigent une 
prise par equipement, le service qui gere les terminaux a egalement besoin 
d'identifier les prises sur lesquelles ils sont branches, la commodite d'usage 
des terminaux impose souvent une alimentation electrique par la prise re- 
seau; tout cela conduit en general a l'installation d'un cablage particulier 
pour la telephonie sur IP. 

5. Faire fonctionner un systeme de telephonie IP demande des competences 
en reseaux informatiques : le personnel des services generaux en est de- 
pourvu, et sera incapable de mettre en ceuvre les fonctions de securite. L'ac- 
quisition de competences elementaires en reseau est possible, par exemple 
en cours du soir au CNAM, en deux ans, en partant d'un niveau baccalau- 
reat scientifique. 
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Tendances des pratiques 
de securisation des SI 



La fin de Fete 2005 a vu la publication de deux articles ( The Six Dumbest Ideas in 
Computer Security de Marcus J. Ranum et The Next 50 Years of Computer Security : 
An Interview with Alan Cox par Edd Dumbill ) qui sont appeles a faire date dans le 
domaine de la securite informatique : en effet ils reservent un sort cruel a quelques 
idees recues et a quelques intuitions largement partagees. Le present chapitre, a la 
faveur d'une etude de ces articles, aborde plusieurs questions fondamentales : les 
systemes de detection ou de prevention d'intrusion, ainsi que la protection de la 
propriete et de la liberte intellectuelles dans un monde numerique. 



J Cf. http://www.ranum.com/security/computer_security/editorials/dumb/ 
2 Cf. http://www.oreillynet.eom/pub/a/network/2005/09/12/alan-cox.html 
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Les six idees les plus stupides en securite, 
selon Ranum 

Marcus J. Ranum m'a autorise a faire ici de larges emprunts a son article, qu'il 
en soit remercie. S'il fallait resumer en une idee generale les theses qu'il defend et 
qu'il illustre, ce serait que, si Ton veut construire un systeme informatique (au sens 
large) sur, il faut que la securite soit incorporee a sa conception des l'origine : il est 
couteux et inefficace de vouloir « ajouter de la securite » a posteriori a un systeme 
concu sans idee de securite au depart. Le corollaire de cette idee, c'est qu'il est 
possible de concevoir un tel systeme, que les methodes existent pour ce faire, et 
M.J. Ranum en donne quelques exemples. Nous avons d'ailleurs eu l'occasion a la 
page 89 de decrire un systeme concu selon ces principes des 1964, Multics. 

Marcus J. Ranum est un pionnier de la securite des systemes d'information ; in- 
venteur de la notion de pare-feu (firewall), il en a egalement signe la premiere 
realisation a la fin des annees 1980 ; il a aussi joue un role precurseur dans le deve- 
loppement des systemes de detection d'intrusion. Nous allons presenter et discuter 
ses six propositions . Mais nous pouvons, avant de commencer, etre deja d'accord 
avec lui pour dire que si votre politique de securite est indigente et si les regies 
que vous fixez sont insuffisantes ou incoherentes, aucun pare-feu de grand luxe ne 
protegera votre site, eut-il coute 100 000 euros. 

Idee stupide n° 1 : par defaut, tout est autorise 

Cette idee ne demande pas un long examen pour etre classee en premiere place 
dans la liste des stupidites. II est assez clair que les conditions actuelles sur les 
reseaux exigent que par defaut tout soit interdit, et que ne soient autorisees que 
les actions effectivement et positivement identifies comme legitimes. Mais cette 
idee stupide, si facile a refuter en apparence, est incroyablement resiliente et en- 
vahissante. 

C'est bien sur dans la redaction des regies de pare-feu que cette idee stupide nu- 
mero 1 se manifeste en priorite : on laisse passer par defaut tous les types de trafic 
et on bloque ceux que Ton estime dangereux ; une variante consiste a bloquer pas 
mal de choses mais a aligner une longue liste de derogations qui, outre le fait 
qu'elles vont deteriorer les performances de l'acces au reseau, vont aneantir la se- 
curite, parce que ces derogations seront autant de portes assez faciles a ouvrir, par 
exemple par usurpation d'adresse IP, l'enfance de l'art pour un pirate amateur. 



3 http: //www. ranum.com/security/computer_security/editorials/dumb/ 
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Nous serons d' accord avec M. Ranum pour dire que la veritable bonne idee, c'est 
« par defaut, tout est interdit ». 

Idee stupide n° 2 : pretendre dresser la liste des menaces 

Cette idee stupide numero 2, en fait assez voisine de sa sceur la numero 1, pourrait 
aussi s'incarner dans une configuration de pare-feu etablie en fonction de la liste 
des menaces recensees. Elle est stupide car en 2006 la liste des menaces est tres 
longue, et surtout elle s'accroit chaque jour : les recenser pour mettre son pare-feu 
a jour s'apparente au remplissage du tonneau des Danaides. Les listes auxquelles 
je suis abonne publient une dizaine de nouvelles vulnerability par semaine, et on 
estime entre 200 et 700 par mois le nombre de nouvelles menaces. 

Le delai qui s'ecoule entre la decouverte d'une vulnerability et son exploitation 
par un logiciel menacant est passe en quelques annees de quelques mois a une 
quinzaine de jours dans certains cas. C'est-a-dire que le logiciel nuisible peut ap- 
paraitre avant la correction de la vulnerabilite, et que meme si ce n'est pas le cas il 
peut suffire d'un retard de quelques heures dans 1' application de la correction pour 
etre expose sans defense a la menace. Et n'oublions pas que les pirates, presents 
dans tous les fuseaux horaires, agissent durant nos nuits et nos jours feries. Bref, 
en 2006 il est effectivement stupide d'esperer assurer la securite de son SI en se 
premunissant contre des menaces qui seraient connues d'avance. 

II faut au contraire dresser la liste de tous les logiciels utiles, d'usage legitime dans 
le SI de l'entreprise, et interdire tous les autres en vertu de la regie precedente. 

Ainsi, considerons un projet de securite informatique destine a evaluer et a amelio- 
rer la disponibilite d'un systeme d'information. Si le responsable du projet s'inspire 
de la methode EBIOS elaboree en France par la Direction centrale de la securite 
des systemes d'information (DCSSI), il dressera une liste des risques, associera 
chacun de ces risques a des vulnerabilites, et envisagera les contre-mesures qu'il 
peut elaborer pour s'en premunir, selon une formule pleine de bon sens et d'uti- 
lite 4 : 

menace x vulnerabilite x sensibilite 

risque = 

contre-mesure 



Nous avons donne a la page 7 une autre formule pour le risque, qui complete utilement celle qui 
va suivre. 
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Cette conceptualisation parait interessante, la formule multiplicative permet de 
classer les risques selon un ordre de priorite en fonction de leur intensite concrete 
pour l'entreprise, par opposition a une intensite technique percue par l'ingenieur 
de securite, mais elle peut engendrer la tentation de dresser une liste de risques ou 
une liste de vulnerability que Ton placera dans la colonne de gauche d'un tableau, 
afin d'en remplir la colonne de droite avec les contre-mesures appropriees. 

Pourquoi cette demarche est-elle maladroite ? Parce que les risques et les menaces 
sont nombreux et souvent inconnus, alors que le repertoire des contre-mesures 
possibles est beaucoup plus reduit ; souvent, cela peut se resumer a cinq ou six 
grands themes : plan de sauvegarde des donnees, amelioration du stockage, ame- 
nagement d'un site de secours avec duplication des donnees a distance, adminis- 
tration correcte des serveurs (fermeture des services inutiles, separation des privi- 
leges, application des correctifs de securite, surveillance des journaux), securisation 
du reseau (pare-feu, authentification forte, fermeture des services inutiles), secu- 
risation physique des locaux. II est done plus simple et plus efficace de partir de 
la table inverse de la precedente : mettre les contre-mesures dans la colonne de 
gauche, et enumerer dans la colonne de droite les risques elimines par elles, ce qui 
evitera de payer un consultant pendant des mois pour elaborer la liste des centaines 
de risques plus ou moins reels que Ton peut envisager. 

Idee stupide n° 3 : tester par intrusion, puis corriger 

La mise en pratique de cette idee stupide numero 3 consiste a detecter les failles du 
systeme a proteger en perpetrant une intrusion, en d'autres termes, a attaquer son 
systeme de protection, pare-feu, antivirus ou autre, puis a obturer les breches que 
Ton aura detectees. Cette idee stupide est mise en ceuvre par de nombreux cabinets 
specialises, qui proposent des tests d' Intrusion a leurs clients, lesquels, lorsqu'ils sont 
incompetents, sont friands de ce genre d'exercice. 

M. Ranum observe que, si la securite par test d'intrusion et correction etait une 
bonne methode, les failles d 'Internet Explorer seraient corrigees depuis longtemps. 
II observe egalement que certains logiciels, comme Postfix ou Qmail, sont quasi- 
ment exempts de failles depuis leur naissance, et ce parce qu'ils ont ete concus des 
l'origine pour ne pas en comporter, e'est-a-dire que leur realisation s'est appuyee 
sur des methodes a l'epreuve des failles. 
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M. Ranum en vient la a son idee centrale : la seule facon d'obtenir un systeme sur, 
c'est qu'il le soit des la conception, et c'est possible. Nous pourrions qualifier ce 
principe de methode de securite a priori, par opposition aux methodes de securite a 
posteriori, qui consistent a construire des systemes non surs, puis a essayer de les 
reparer en detectant les failles a posteriori. Par analogie, nous pourrions dire que 
la methode en usage dans la Marine Nationale et connue par la devise « Peinture 
sur rouille egale proprete » ne donne pas en matiere de securite des resultats 
satisfaisants. 

M. Ranum conclut sur ce point en indiquant que si votre systeme est reguliere- 
ment vulnerable au « bug de la semaine », c'est que vous etes dans la configuration 
evoquee ici, et que tout pirate qui inventera une attaque nouvelle reussira chez 
vous. 



Idee stupide n° 4 : les pirates sont sympas 



« La meilleure facon de se debarrasser des cafards dans la cuisine, c'est de jeter les 
miettes de pain sous la cuisiniere, c'est bien connu », nous dit ironiquement M. 
Ranum, avant de citer Donn Parker : 

« L'informatique en reseau a affranchi les criminels de la contrainte historique de 
proximite avec leur crime. L'anonymat et l'exemption de la confrontation person- 
nels avec la victime ont diminue la difficulte emotionnelle a commettre un crime, 
parce que la victime n'est qu'un ordinateur inanime, pas une personne ou une 
entreprise reelles. Les gens timides peuvent se mettre au crime. La proliferation 
de systemes identiques, de moyens d'y acceder et l'automatisation des transac- 
tions commerciales permettent et favorisent l'economie du crime automatise, la 
realisation d'outils criminels de grande puissance et 1' apparition de scenarios tres 
rentables. » 

La criminalite informatique est un probleme social, pas une question de techno- 
logie, nous dit M.J. Ranum. La diffusion de l'informatique a donne un champ 
d' action elargi a certaines personnes depourvues de maturite et mal socialisees, 
auxquelles les medias accordent une publicite assez deplacee en les presentant 
comme de brillants informaticiens dont les grandes entreprises en mal de secu- 
rite se disputeraient les services a coup de super-salaires et de stock-options. Le 



Cette locution proverbiale m'etait venue sous une forme legerement differente, mais Christian 
Queinnec m'a permis de la rectifier. 
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fait que les pirates soient de plus en plus souvent des criminels organises qui de- 
tournent des sommes importantes finira par avoir raison de cette idee idiote. La 
majorite des autres pirates sont des adolescents attardes et incompetents, qui se 
contentent de propager des logiciels malfaisants tout faits qu'ils n'ont eu que la 
peine de telecharger sur le Net. 

Corollaire tout aussi idiot de cette idiotie n° 4, l'idee que les responsables de secu- 
rite du SI devraient s'initier aux techniques de piratage : outre qu'un tel appren- 
tissage serait pratiquement a recommencer chaque semaine, il absorberait en pure 
perte une energie qui, pendant ce temps, ne serait pas consacree a l'edification de 
systemes et de reseaux surs par construction. 

Idee stupide n° 5 : compter sur I'education des utilisateurs 

Ceci semble un paradoxe : on ne recoit jamais trop deducation ! II s'agit ici de 
l'application de l'idee stupide n° 3 aux etres humains : attendre que les utilisa- 
teurs aient ete victimes d'un incident de securite et d'attaques reussies, et ensuite 
seulement les corriger (eduquer). En fait tout semble indiquer qu'une proportion 
importante d'utilisateurs seront toujours prets, quoi qu'il advienne, a cliquer sur 
un lien qui promet une image pornographique ou de 1' argent facile ; la nature hu- 
maine est ainsi faite, on ne la corrigera pas. II faut done arriver a la conclusion 
suivante : 

Si votre politique de securite repose sur I'education des utilisateurs, alors elle est vouee 
a I'echec. 

D'ailleurs, l'idee que Ton puisse corriger chez l'homme la propension a commettre 
les actes evoques ici est une idee encore plus detestable que l'insecurite des sys- 
temes d'information. Mieux vaut done configurer le systeme de sorte que : 

1. les choses dangereuses ne parviennent pas aux utilisateurs ; 

2. lorsque certaines choses dangereuses passent a travers les mailles du filet (il 
y en aura), les consequences en seront limitees, detectees puis controlees. 

Cela etant dit, il faut, bien sur et dans la mesure du possible, faire I'education des 
utilisateurs. 
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Idee stupide n° 6 : Taction vaut mieux que I'inaction 

M. Ranum vise ici, plutot que Taction, l'activisme. II est clair que le responsable de 
site qui veut toujours adopter avant tout le monde les plus recentes technologies 
s'expose davantage a des incidents de securite que l'administrateur prudent qui 
attend deux ans la stabilisation du systeme et les retours d'experience avant de 
l'implanter. En outre, pendant ce delai le cout induit par le deploiement aura 
probablement diminue. 

On peut aussi citer l'aphorisme suivant : « II est souvent plus facile de ne pas faire 
quelque chose d'idiot que de faire quelque chose d'intelligent » (attribue abusive- 
ment a YArt de la guerre de Sun Tzu). 

Quelques idioties de seconde classe 

M. Ranum enumere pour finir quelques assertions et pratiques stupides de 
moindre ampleur : 

• « Nous ne sommes pas une cible interessante » : or, tout le monde est vise, 
les vers et les virus ne sont pas capables d'identifier les cibles qui en valent 
la peine ; 

• « en deployant < mettre id le nom de voire systeme ou pare-feu prefere > nous 
serons proteges » : non, le systeme ou le pare-feu qui protege, c'est celui 
pour lequel il y a sur le site un ingenieur (oui, un ingenieur, les gens qui 
savent faire 9a sont des ingenieurs) competent, qui le connait bien et qui 
consacre beaucoup de son temps a s'en occuper ; 

• « pas besoin de pare-feu, notre systeme est sur » : non, meme avec un sys- 
teme sur, sans pare-feu toute application reseau est une cible facile ; 

• « pas besoin de securiser le systeme, nous avons un bon pare-feu » : non, le 
trafic legitime qui franchit le pare-feu comporte des risques ; 

• « demarrons la production tout de suite, nous securiserons plus tard » : non, 
ce ne sera jamais fait, et si cela doit l'etre, cela prendra beaucoup plus de 
temps et de travail que de l'avoir fait au depart ; 

• « nous ne pouvons pas prevoir les problemes occasionnels » : si, vous pouvez ; 
prendriez-vous l'avion si les compagnies aeriennes raisonnaient ainsi ? 
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Les cinquante prochaines annees, 
selon Alan Cox 

Alan Cox est un des principaux developpeurs du noyau Linux, qu'il a notamment 
contribue a doter de la capacite de preemption. II est interessant de relever ce 
qu'il considere comme des facteurs de progres de la securite des systemes infor- 
matiques, en partant de son jugement sur la situation actuelle d'insecurite, qu'il 
estime insoutenable : 

1. l'essor des systemes de verification de code (cf. page 98), et surtout de leur 
utilisation ; 

2. l'amelioration des methodes de developpement, avec des langages comme 
Java qui reglent la majeure partie des problemes d' allocation memoire, prin- 
cipal source de failles comme Ton sait (voir page 92) ; 

3. une gestion plus fine et plus restrictive de 1' attribution des privileges aux 
utilisateurs ; 

4. les techniques de defense en profondeur (cf. page 13) se repandent : ainsi, 
le choix d'adresses aleatoires (ou plutot imprevisibles) pour l'implantation 
des objets en memoire, le verrouillage par le materiel ou par le logiciel de 
certaines regions de memoire rendues non executables, l'usage de systemes 
securises comme SELinux (une version blindee de Linux), etc. 



Detection ((Intrusion, inspection en profondeur 

C'est ici encore a Marcus J. Ranum que nous ferons appel pour discuter la ques- 
tion de Y inspection en profondeur ; dans 1' article que nous evoquons ici et dont nous 
retracons les grandes lignes, il entreprend de demontrer la superiorite du man- 
dataire applicatif sur les differents systemes de detection et de prevention des at- 
taques. Cet article se situe dans la droite ligne de celui que nous avons presente 
au debut de ce chapitre , en cela il defend les principes des methodes de securite a 
priori, ou par construction, par opposition aux methodes de securite a posteriori, 
ou curatives. 



6 http: //www. ranum.com/security/computer_security/editorials/deepinspect/ 
7 http: //www. ranum.com/security/computer_security/editorials/dumb/ 



Tendances des pratiques de securisation des SI 



Ch a pit re 1 1 

Pare-feu a etats 

Nous avons vu, a la section consacree aux pare-feu (page 125), que les techniques 
traditionnelles de filtrage n'etaient plus suffisamment efficaces pour bloquer les 
attaques modernes perfectionnees, et que les pare-feu modernes utilisaient de plus 
en plus les techniques de suivi de connexion, qui consistent a garder en memoire 
une sequence de paquets de facon a en faire 1' analyse longitudinale, ce qui permet 
de detecter certaines malfaisances subtiles, notamment par la defragmentation de 
datagrammes IP et le re-assemblage de segments TCP. Les pare-feu qui utilisent 
cette methode, inauguree en 1993 par la firme Checkpoint , sont appeles stateful 
firewalls, ou pare-feu a etats. 

Detection et prevention d'intrusion 

La vague suivante de produits de securite fut celle des systemes de detection et 
de prevention d'intrusion, dont le modele libre est le logiciel Snort. Ces logiciels 
utilisent une base de donnees de signatures de vers et d'autres logiciels malfaisants, 
un peu a la maniere d'un antivirus, et se sont reveles relativement efficaces contre 
la grande epidemie de vers des annees 2001 a 2004, mais leur vogue decline au fur 
et a mesure que leur efficacite diminue. La base de signatures de Snort contient 
les descriptions de plus de 3 000 attaques. 

Inspection en profondeur 

Une autre voie, iUustree par certains fournisseurs (Checkpoint, Netscreen), est le 
pare-feu a inspection en profondeur de paquets. II s'agit en fait d'un pare-feu a 
etats auquel on aurait greffe la base de signatures d'un systeme de prevention d'in- 
trusions, et en outre quelques procedures de detection d' anomalies protocolaires. 

Critique des methodes de detection 

Dans son article cite en reference, Marcus J. Ranum cite en exemple de procedure 
d'inspection en profondeur 1' analyse du protocole SMTP par le logiciel NFR : ce 
logiciel examine la sequence complete de commandes SMTP du debut a la fin 
de l'envoi de message, et emet une alerte en cas d'occurrence d'une commande 
Mail From : emise par le logiciel client avant la commande RCPT To : corres- 
pondante ; une telle analyse est tres efficace, parce qu'un logiciel de messagerie de 
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bonne foi n'utilisera jamais une telle sequence, et qu'il ne peut s'agir que d'une 
anomalie, d'une tentative de piraterie. Mais, dans cet exercice, un pare-feu a base 
de mandataire applicatif sera superieur a un systeme de detection d' anomalies pro- 
tocolaires, parce que par definition le mandataire execute le protocole, et que de ce 
fait aucune anomalie ne peut lui echapper. Alors que le systeme de detection en 
est reduit a supputer ce que le protocole execute, le mandataire est l'implantation 
du protocole. 

Comme un mandataire applicatif execute les sequences protocolaires pour les- 
quelles il a ete programme des sa conception, il n'accomplit, par construction, que 
des actions autorisees, il realise le principe « par defaut, tout est interdit ». 

Le logiciel de detection d'attaques examine sa base de donnees de signatures d'at- 
taques, et s'il ne trouve aucune signature qui corresponde a la sequence examinee, 
il considere quelle est legitime, ce qui realise le principe « par defaut, tout est 
permis ». 

Face a des profils d'attaques de plus en plus nombreux, de plus en plus divers et 
de plus en plus complexes, nous pensons que dans la course aux armements entre 
attaquants et systemes de detection, les attaquants submergeront tot ou tard les 
defenseurs, et nous nous rangerons a l'avis de Marcus J. Ranum : l'avenir est au 
mandataire applicatif. 



A qui obeit votre ordinateur ? 



En ce debut de siecle obsede par des menaces contre la securite et l'ordre public 
se manifestent des tendances au renforcement du controle social, qui, dans le do- 
maine qui nous interesse ici, se traduisent par de vastes projets de surveillance des 
usages des ordinateurs et des reseaux, et d'interdiction de ceux de ces usages qui 
ne recoivent pas l'assentiment des puissances a l'ceuvre dans l'industrie des me- 
dias, par exemple pour ce qui touche a la diffusion et a l'echange de musique et 
de films par l'lnternet. Ces tendances repressives constituent un danger parce que, 
comme toutes les mesures excessives et abusives, elles se retournent contre leur 
objectif initial : elles se revelent nuisibles a la disponibilite et a la liberte d'usage 
legitime des systemes d'information, tout en concentrant un pouvoir excessif dans 
les mains d'un petit nombre d'entreprises privees. 
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Conflit de civilisation pour les echanges 
de donnees numeriques 

L'ubiquite de l'informatique et de l'lnternet jusque dans les habitudes domes- 
tiques et culturelles a engendre de nouveaux comportements dans la vie privee 
des citoyens, au nombre desquels la publication de sites Web prives tels que les 
blogs, l'echange de conversations et de documents de toute sorte par le reseau, 
qu'il s'agisse de textes, d'images ou de sons, ainsi que de nouvelles formes de crea- 
tivite, puisque tel qui etait mauvais dessinateur au fusain et au canson peut se 
reveler brillant graphiste electronique, et tel autre qui souffrait du symptome de la 
page blanche avec un stylo frise la graphomanie avec un clavier et un ecran. Ces 
nouvelles pratiques culturelles sont souvent associees a l'usage de logiciels libres, 
ou fecondees par eux. Elles ont considerablement elargi le champ de la liberte 
d' expression, et apparaissent comme une evolution majeure de la civilisation et de 
la culture. 

Cette veritable revolution culturelle rencontre l'hostilite des industriels de la 
culture ; rappelons ici quelles sont les grandes puissances de cette industrie : le 
marche mondial de l'edition numerique (CD et DVD) est controle par quatre 
geants, les « majors », EMI, Sony, TimeWarner et Universal. Ces industriels de 
la culture, au lieu de s'adapter a ces evolutions en imaginant de nouvelles formes 
de commerce, comme Amazon a bien su le faire, ont prefere s'engager dans un 
combat conservateur (perdu d'avance) pour preserver leurs rentes, assises sur des 
technologies vieillissantes vendues a des tarifs surevalues, et faire interdire les 
nouvelles pratiques culturelles evoquees ci-dessus. A cette fin ils se sont enga- 
ges dans un combat juridico-technique planetaire pour faire adopter par les Etats 
des legislations prohibitionnistes a l'encontre des nouvelles pratiques de creation 
et d'echange, qui reposent sur les ordinateurs et le reseau. 

Le combat juridique se double d'un combat technique. En fait, 1' offensive des 
majors avance sur deux fronts : 

• creer des dispositifs techniques destines a empecher ou a surveiller les pra- 
tiques jugees indesirables par les majors ; nous avons eu l'occasion de decrire 
un de ces precedes a la page 58 ; dans cette entreprise ils recoivent le soutien 
de certains industriels de l'informatique, notamment Intel et Microsoft ; 

• faire adopter par les Etats des legislations qui interdisent le contournement 
de ces dispositifs techniques, et qui permettraient de punir les pratiques 
desapprouvees par les majors. 
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Cette combinaison de dispositions techniques et legales devrait etre verrouillee, 
si les reves des majors se realisent, par l'adoption en Europe d'une legislation sur 
la brevetabilite du logiciel, inspiree de celle qui a cours aux Etats-Unis, et qui 
pourrait empecher la creation de logiciels libres, notamment dans ce domaine de 
la creation et de la diffusion d'ceuvres de l'esprit. Dans ce combat des brevets 
logiciels, les majors ont recu le renfort de Siemens, Nokia, Philips et Alcatel. 
Autant dire que les forces hostiles aux nouvelles pratiques culturelles disposent de 
moyens economiques et de pouvoirs d'influence considerables. 

Dispositifs techniques de prohibition des echanges 
Gestion des droits numeriques (DRM) 

Nous avons deja evoque a la page 58 le protocole de gestion des droits nume- 
riques DRM, en l'occurrence pour en signaler une realisation fautive et frau- 
duleuse. DRM vise a proteger des donnees numeriques enregistrees sur CD ou 
DVD, ou diffusees par le reseau, au moyen d'un systeme de chiffrement et de 
signature. Le fichier numerique qui contient, par exemple, le film ou la musique 
est chiffre et compresse. II ne pourra etre lu qu'au moyen d'un logiciel special, qui 
sera eventuellement fourni avec le fichier et installe sur le meme support. Pour lire 
le fichier, c'est-a-dire voir le film ou ecouter la musique, l'acheteur devra fournir 
une cle secrete qui lui aura ete remise au moment du paiement. Le logiciel DRM 
pourra egalement, au gre du vendeur, limiter le nombre de copies possibles du 
fichier, ou le nombre de lectures, ou la date limite de lecture. 

Un des multiples inconvenients du protocole DRM, c'est qu'il limite l'usage le- 
gitime des donnees qu'il protege : si le logiciel de lecture ne fonctionne que sur 
tel ou tel modele de lecteur de DVD ou avec tel ou tel systeme d'exploitation, les 
proprietaires de systemes differents ne pourront pas utiliser le DVD en question, 
quand bien meme ils l'auront paye, et la loi sur les brevets logiciel leur interdira de 
creer un logiciel libre destine a resoudre ce probleme. La situation decrite ici n'est 
pas du tout un cas d'ecole, elle s'est effectivement produite ; ainsi le Norvegien 
Jon Johansen a ete poursuivi en 2000 par les tribunaux de son pays, a la demande 
de 1 Association americaine pour le controle de la copie de DVD (DVD-CAA), 
pour le simple fait d' avoir tente de lire ses propres DVD, et d' avoir ecrit pour ce 
faire le logiciel DeCSS pour le decodage des DVD sous Linux ; il a finalement ete 
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acquitte en 2003. Et on ne compte plus les acheteurs depites de ne pas pouvoir 
lire leur DVD tout neuf sur leur lecteur tout neuf, grace a DRM. 

Trusted Computing Platform Alliance (TCP A) 

Trusted Computing Platform Alliance est une association d'entreprises d'informa- 
tique (HP, IBM, Intel, Microsoft...) qui se donne pour objectif la securite des 
equipements et des reseaux informatiques, et qui developpe pour cela des dispo- 
sitifs materiels et logiciels qu'elle souhaite incorporer au cceur des ordinateurs et 
des systemes d' exploitation de demain. Ce qui est a noter, c'est que les dispositifs 
envisages par TCPA sont destines a etre implantes dans des couches basses du 
materiel et du logiciel, de telle sorte que l'utilisateur ne pourra pas intervenir pour 
modifier leur comportement. 

Le principe des dispositifs TCPA consiste a attribuer une signature a chaque ele- 
ment de systeme informatique (logiciel, document), et a deleguer a un tiers de 
confiance la possibilite de verifier si l'objet considere peut etre legitimement uti- 
lise sur le systeme informatique local. 

Tout element non signe ou dont la signature n'est pas agreee par le tiers de 
confiance sera rejete. On imagine les applications d'un tel dispositif a la lutte 
contre les virus. Mais aussi, si par exemple le « tiers de confiance » est le four- 
nisseur du systeme (et qui pourra i'empecher de s'arroger cette prerogative?), il 
lui sera possible de verifier que les applications utilisees sont bien conformes au 
contrat de licence concede a l'utilisateur. Un des problemes souleves par cette 
technique est que l'utilisateur final perd ainsi toute maitrise de ce qui peut ou ne 
peut pas etre fait avec son propre ordinateur. C'est par ce precede, notamment, 
qu' Apple s'assure que son systeme d'exploitation Mac OS X ne peut etre execute 
que sur les ordinateurs a processeur Intel de sa fabrication. Mais on pourrait ima- 
giner que cette methode soit utilisee pour empecher l'usage de certains logiciels 
libres. 

Les specifications emises par TCPA formulent la definition du Trusted Platform 
Module (TPM), destine a procurer des primitives de securite dans un environne- 
ment sur. Par « primitives » on entend : signature electronique, generation de 
nombres pseudo-aleatoires, protection de la memoire, acces a un etat garanti de 
l'information contenue par le TPM. L'integrite et l'authenticite de ces primitives 
et de leur execution sont assurees par des dispositifs materiels. Le TPM doit etre 
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un composant discret, identifiable de facon distincte sur la carte-mere de l'ordi- 
nateur, mis en ceuvre au moyen d'un pilote active par le BIOS. Ces dispositions 
assurent l'independance du fonctionnement du TPM a l'egard de ce qui se passe 
dans le systeme accessible a l'utilisateur. Par exemple, l'utilisation du TPM peut 
garantir qu'un dispositif de DRM n'aura pas ete modifie ou contourne par un utili- 
sateur, operation triviale avec les dispositifs de DRM actuels, implantes purement 
en logiciel. 

Next-generation secure computing base (NGSCB) 

Next-generation secure computing base est le nom d'un projet Microsoft anterieure- 
ment baptise Palladium. NGSCB devait etre utilise par Microsoft pour implanter 
une architecture de confiance dans son systeme le plus recent, Vista, mais cette 
installation est differee sine die, sans doute a cause des reticences suscitees par les 
aspects Big Brother pretes au systeme. 

Avec NGSCB, qui fonctionne a l'aide d'un processeur cryptographique, le sys- 
teme d'exploitation Vista travaillera dans un environnement de securite. Les prin- 
cipes en sont d'incorporer la cryptographie au systeme d'exploitation pour garantir 
l'integrite des echanges entre processus, entre les processus et la memoire, entre 
les processus et les disques, et entre les processus et les dispositifs d'entree-sortie 
(clavier, souris, ecran...). 

Ce mode de fonctionnement permettrait de verifier que des fichiers crees par une 
application ne peuvent etre lus ou modifies que par cette meme application ou par 
une autre application autorisee, de proteger le systeme contre 1' execution de codes 
non autorises tels que les virus et tout programme non autorise par l'utilisateur ou 
l'administrateur, et de mener a bien l'edification de systemes informatiques vrai- 
ment distributes dont chaque composant puisse faire confiance aux autres parties 
du systeme (logicielles ou materielles) meme si celles-ci font partie d'un systeme 
distant. 

Les detracteurs du projet ne manquent pas d' observer qu'avec NGSCB Microsoft 
aura les moyens d'exercer un controle total sur les ordinateurs de ses clients, et 
notamment d'y persecutor les logiciels fibres qu'il estimerait contraires a ses inte- 
rets. Un tel dispositif sera aussi de nature a accroitre l'efficacite des systemes de 
DRM... et a aggraver les abus qui en decoulent, signales ci-dessus. 
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Les developpements recents de cette politique de controle des usages sont evo- 
ques par la revue Microprocessor Report [70] : les industriels prevoient de lancer 
une offre de diffusion video haute definition a la demande par l'lnternet, qui sera 
encadree par des mesures techniques de protection drastique, en l'occurrence les 
plates-formes materielles Viiv d'Intel ou Live ! d'AMD, le precede de chiffrement 
HDCP (High Bandwidth Digital Content Protection) et le dispositif de connexion 
HDMI (High Definition Multimedia Interface). Tout cela signifie qu'il faudra, pour 
acceder a cette offre, faire 1'emplette d'un nouvel ordinateur et d'un nouveau sys- 
teme d' exploitation, et que les systemes libres tels que Linux ou OpenBSD en 
seront probablement exclus. 

Informatique de confiance, ou informatique deloyale ? 

Richard M. Stallman a ecrit un article de critique de ces projets qui pretendent 
nous mener vers une informatique « de confiance », ou il la qualifie, au contraire, 
d 'informatique deloyale. La deloyaute reside dans les possibilites que NGSCB offre 
au « tiers de confiance » pour agir sur les donnees stockees par l'ordinateur, a l'insu 
de l'utilisateur legitime et sans que celui-ci puisse rien faire pour l'empecher. R.M. 
Stallman donne des exemples d' actions deloyales rendues possibles par de telles 
techniques : 

« Rendre impossible le partage des fichiers videos et musicaux est une mauvaise 
chose, mais cela pourrait etre pire. II existe des projets pour generaliser ce dispositif 
aux messages electroniques et aux documents — ayant pour resultat un e-mail qui 
disparaitrait au bout de deux semaines, ou des documents qui pourront seulement 
etre lus sur les ordinateurs d'une societe mais pas sur ceux d'une autre. (...) 

Les logiciels de traitement de texte tels que Word de Microsoft pourraient em- 
ployer « l'informatique deloyale » quand ils enregistrent vos documents, pour s' as- 
surer qu'aucun autre traitement de texte concurrent ne puisse les lire. (...) 

Les programmes qui utilisent « l'informatique deloyale » telechargeront reguliere- 
ment de nouvelles regies par Internet, et imposeront ces regies automatiquement 
a votre travail. » 



http : //www . gnu . org/phi losophy/can- you- trust . f r . html 
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Nous trouvons sur le site de lAdullact une analyse comparative des licences lo- 
gicielles, qui corrobore les craintes que Ton peut avoir a l'egard des mesures tech- 
niques de protection associees a la gestion des droits numeriques : 

« L'integration de la gestion des droits numeriques (DRM) dans Windows im- 
plique que la societe Microsoft peut a tout moment revoquer votre droit d'acces 
aux contenus securises si elle considere votre logiciel compatible-DRM compro- 
mis. Une liste de logiciels revoques est automatiquement installee sur votre ordi- 
nateur a chaque telechargement de contenus securises. Une mise a jour de votre 
logiciel compatible-DRM est alors necessaire pour continuer a acceder a vos fi- 
chiers securises. Cette revocation n'empeche cependant pas l'acces a des contenus 
non proteges par les DRM. » 

De tels projets constituent effectivement une menace contre la liberte d' expres- 
sion, et contre les libertes publiques en general. Les entreprises qui les fomentent 
exploitent abusivement pour leur promotion la psychose de securite consecutive 
au 11 septembre 2001. La puissance de ces entreprises semble considerable, mais 
nous pensons qu'elles seront neanmoins impuissantes a endiguer les nouvelles pra- 
tiques culturelles, parce que celles-ci sont deja le fait de plusieurs dizaines de mil- 
lions d'internautes de par le monde, qu'il s'agisse de la publication et de l'echange 
sur Internet ou du recours aux logiciels libres. 

Mesures de retorsion contre les echanges de donnees 

Le gouvernement francais a demande a Antoine Brugidou, &Accenture, et a 
Gilles Kahn, alors president de 1'INRIA, un rapport (disponible en ligne) sur 
les echanges de fichiers musicaux par Internet et sur les moyens eventuels de les 
controler ou de les bloquer par des dispositifs techniques 10 . Ce rapport est destine 
notamment a repondre aux preoccupations des syndicats francais des entreprises 
de l'edition phonographique et cinematographique, qui ne pensent qua interdire, 
detecter, bloquer et punir les echanges en question. 

La reponse donnee par le rapport est que les mesures techniques de controle et 
d'interdiction dont revent les editeurs seront difficiles a mettre en ceuvre, tres cou- 
teuses, et d'une efficacite limitee dans le temps. En effet les systemes de filtrage de 
flux sur l'lnternet, pour etre reellement efficaces, devraient etre installes au cceur 



9 http : //www. adullact . org/documents/comparatif_licences . html 
10 http: //www. recherche. gouv.fr/discours/2005/musiqueinternet .htm 
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des reseaux des fournisseurs d'acces a l'lnternet (FAI) ; or les FAI ne manifestent 
aucun enthousiasme a l'idee d'encombrer leurs infrastructures avec ces materiels 
onereux, qui vont ralentir le debit de leurs reseaux, et dont l'objectif est d'empe- 
cher leurs clients de se livrer aux activites pour lesquelles justement ils ont souscrit 
un abonnement a haut debit. Si le ministere de la Culture soutient les syndicats 
d'editeurs, le ministere de l'lndustrie soutient les FAI. 

Les principes de fonctionnement des dispositifs de filtrage ne sont pas determi- 
nistes, mais heuristiques : en effet rien ne permet de distinguer de facon sure un 
echange poste a poste « suspect » d'un autre type de trafic, comme nous l'avons 
vu a la page 210. Le filtrage des adresses IP, des numeros de ports ou d'autres 
donnees de protocole sont totalement inefficaces contre ce type de trafic. Les sys- 
temes de detection doivent done reconnaitre la « signature » d'un echange, puis 
ouvrir les paquets pour en investiguer le contenu et mettre en evidence le « delit ». 
Chaque fois que le protocole (non public) du systeme poste a poste sera modifie, 
les systemes de detection seront mis en echec. 

Les societes Allot et Cisco (gamme P_Cube) proposent des solutions de filtrage 
de protocole bases sur la reconnaissance de signature. Les societes Audible Magic 
(boitier CopySense) et Advestigo proposent du filtrage de contenus. II y a aussi des 
systemes de filtrage sur le poste client, qui supposent la collaboration de l'utilisa- 
teur, par exemple dans le cas de parents qui souhaitent empecher leurs enfants de 
s'adonner au telechargement ; cet etat de fait pourrait changer avec des disposi- 
tifs tels que TCPA (cf. page 235) et NGSCB (cf. page 236), susceptibles d'etre 
utilises pour surveiller un ordinateur sans le consentement de son proprietaire le- 
gitime, mais nous voulons croire que des situations aussi iniques ne pourront pas 
voir le jour. 

MM. Brugidou et Kahn envisagent dans leur rapport plusieurs scenarios de de- 
ploiement d'outils de filtrage sur les infrastructures des FAI. Ces equipements, 
pour jouer leur role, devront etre installed en coupure, ce qui signifie qu'ils de- 
vront etre adaptes au debit des infrastructures, soit aujourd'hui generalement 1 
gigabit/s, mais bientot 10 Gb/s, e'est-a-dire qu'ils seront couteux. Ainsi, le rap- 
port envisage une solution suggeree par un syndicat professionnel et adaptee au 
reseau de France Telecom : elle consisterait a implanter un boitier Allot a 1 Gb/s 
en coupure derriere chaque BAS (Broadband Access Server) du reseau ADSL de 
l'operateur, soit a l'epoque de l'etude 143 boitiers. Le prix de chaque boitier est 
de plusieurs dizaines de milliers d' euros. Les fournisseurs d'acces a l'lnternet n'ont 



Avenir de la securite du systeme d'information 



Quatrieme partie 

guere d'attrait pour ce type d'investissement, qui penaliserait surtout leurs clients 
en termes de performances du reseau et de liberte d'usage de leurs ordinateurs, et 
ce pour une efficacite tres discutable. 



VOCABULAIRE BAS et DSLAM 

Les acces ADSL (Asymmetric Digital Subscriber Line) d'un operateur sont raccordes 
a un DSLAM (DSL Access Multiplexer). Un DSLAM sera en general installe dans un 
central (nomme desormais Nceud de Raccordement d'Abonne, ou NRA) et desservira 
une zone de 4 ou 5 km de rayon. Un BAS concentrera le trafic d'une dizaine de DSLAM. 



La voie du blocage des echanges de fichiers sur le reseau semble done peu pro- 
metteuse pour les industriels de la culture : on comprend qu'ils soient tentes de se 
rabattre sur l'implantation de la gestion numerique des droits au cceur de l'ordi- 
nateur, avec des technologies telles que les TPM (cf. page 235) et NGSCB (cf. 
page 236). Ces dernieres solutions pourraient etre techniquement efficaces, mais 
elles seraient inacceptables pour les utilisateurs, qui y verraient un empietement 
intolerable sur leur liberte d'utiliser comme bon leur semble les objets et les sup- 
ports numeriques qu'ils ont achetes. 

Gestion des droits numeriques (DRM) et politique publique 

Dans un article des Communications of the ACM (CACM) de juillet 2005 11 , Ed- 
ward W. Felten, professeur d'informatique et de politique publique a l'universite 
de Princeton, ou il dirige en outre le Center for Information Technology Policy, a 
propose aux instigateurs et aux auteurs de politiques publiques pour la gestion des 
droits numeriques six principes qui lui semblent s'imposer : 

• Pluralite et concurrence : une politique publique des droits numeriques de- 
vrait permettre la pluralite des systemes de gestion de droits, et promouvoir 
l'interoperabilite entre ces systemes. 

• Equilibre du droit d'auteur : les legislations relatives au droit d'auteur ont, 
traditionnellement, cherche un equilibre entre la remuneration de l'auteur et 
le droit d' acces du public ; la gestion des droits numeriques et les legislations 
qui s'y appliquent devraient respecter cet equilibre, non le remettre en cause. 



J Cf. http://www.csl.sri .com/users/neumann/insiderisksQS .html#181 
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• Protection du consommateur : les systemes de gestion des droits nume- 
riques ne devraient pas restreindre les droits des consommateurs, et les po- 
litiques publiques qui s'y appliquent devraient les proteger. 

• Protection de la vie privee : les politiques publiques relatives a la gestion des 
droits numeriques devront veiller a la protection de la vie privee, en empe- 
chant que les systemes de gestion de ces droits ne deviennent des moyens 
d'espionner les utilisateurs en recueillant des donnees sur leurs comporte- 
ments et leurs pratiques culturelles ou autres. 

• Recherche et debat public : la politique publique devra favoriser la recherche 
et le debat public sur les questions relatives aux droits numeriques, et faire 
obstacle aux derives recentes, qui ont vu certaines entreprises tenter d'utili- 
ser les legislations sur la propriete intellectuelle pour assigner en justice des 
auteurs d'articles scientifiques ou de logiciels de recherche. 

• Delimitation du champ d'application : les politiques publiques devront voir 
leur champ d'application delimite precisement au domaine ou elles seront 
utiles, et eviter les formulations susceptibles d'etre detournees par des avo- 
cats trop habiles a l'encontre d'usages legitimes des droits numeriques. 

Ces principes equilibres devraient pouvoir recueillir l'assentiment de tous les in- 
terlocuteurs de bonne foi dans le debat. Si la gestion des droits numeriques devait 
devenir soit, pour l'industrie culturelle, un moyen de tondre plus efficacement un 
consommateur sans defense, soit, pour une mouvance libertaire extremiste, un 
moyen de profiter des ceuvres d'art sans remunerer les artistes, elle serait de toutes 
les facons condamnee a l'echec ; nous croyons que ces deux voies extremes n'ont 
aucun avenir. 



Conclusion 



Le proverbe dit « mieux vaut prevenir que guerir » : au terme du parcours des 
divers aspects de la securite des systemes d'information, nous pourrions presque 
dire qu'en ce domaine prevenir est imperatif, parce que guerir est impossible et de 
toute facon ne sert a rien. Lorsqu'un accident ou un pirate a detruit les donnees de 
l'entreprise et que celle-ci n'a ni sauvegarde ni site de secours, elle est condamnee, 
tout simplement : les personnels de ses usines ne savent plus quoi produire ni a 
quels clients livrer quoi, ses comptables ne peuvent plus encaisser les factures ni 
payer personnels et debiteurs, ses commerciaux n'ont plus de fichier de prospects. 

Un accident moins grave aura sans doute des consequences moins radicales, mais 
en regie generate les consequences d'un incident de securite sont irreversibles si 
aucune prevention n'avait ete organisee avant qu'il n'advienne. 

II est impossible de connaitre a l'avance tous les types de menaces et de detecter 
toutes les vulnerabilites, puisque, ainsi que nous l'avons signale et repete, il en 
apparait de nouvelles chaque semaine, par dizaines. Par consequent, 1' analyse de 
risques se revele vite une aporie si on lui accorde trop de conflance, si on la croit 
deterministe ; il convient de s'y adonner, mais avec scepticisme. 

L'analyste de risques sceptique sera un responsable de securite agnostique et pes- 
simiste : il suit que son pare-feu sera franchi, que son antivirus ne sera pas a jour, 
que son systeme de detection d'intrusion ne le previendra pas de l'attaque, que 
ses copies de sauvegarde seront corrompues, que son site de secours sera inonde 
ou detruit par un incendie, que son systeme redondant ne se declenchera pas ; 
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mais, eduque dans la religion probabiliste, il salt que toutes ces catastrophes ne 
surviendront pas simultanement. 

L'idee de defense en profondeur n'est pas sans parente avec la demarche agnostique 
probabiliste, mais elle s'en distingue : si la garnison de mon pare-feu est finale- 
ment submergee par l'assaillant, elle en aura neanmoins reduit les effectifs avant 
de succomber, ce qui facilitera la mission des escadrons d' antivirus, et ainsi mon 
systeme redondant risquera moins d'etre sabote par un ver qui pourrait l'empecher 
de se declencher. Si au contraire je mise tout sur mon pare-feu ou sur mon reseau 
prive virtuel et que derriere cette protection je commets des imprudences, je suc- 
combe au syndrome de la llgne Maginot, le jour ou la defense est enfoncee tout est 
perdu. Or, si une chose est sure, c'est que la defense sera enfoncee. Un jour. 

Une autre certitude, c'est que le risque ne vient pas seulement de l'exterieur, les 
sources de danger proliferent aussi a l'interieur du reseau, et d'ailleurs la frontiere 
entre l'interieur et l'exterieur tend non pas a disparaitre, mais a devenir poreuse et 
floue, avec les systemes mobiles en tout genre qui entrent et qui sortent, les tunnels 
vers d'autres reseaux, les nouveaux protocoles infiltrables et furtifs. Les protocoles 
de telephonie par Internet, de visioconference et autres systemes multimedia sont 
tous des failles beantes de securite, et la situation sur ce front ne s'ameliorera pas 
avant des annees. 

Nous voyons que les menaces sont proteiformes, les vulnerabilites foisonnantes et 
le tout en transformation constante : c'est dire que le responsable de securite ne 
choisit pas le terrain sur lequel il va devoir manoeuvrer, il va lui falloir faire preuve 
d'adaptabilite et de pragmatisme. S'il ne veut pas se trouver condamne a reagir fre- 
netiquement mais trop tard a des avalanches d'incidents mysterieux, il devra nean- 
moins etablir un socle stable pour son activite, dont nous avons etabli en principe 
qu'elle sera essentiellement preventive. Pour cela il lui faudra principalement deux 
choses : une vraie competence technique dans son domaine, suffisamment large 
et profonde pour embrasser reseaux et systemes, et, au sein de son entreprise, le 
pouvoir d'edicter les regies dans son domaine, et de les faire respecter : interdire 
les protocoles dangereux, imposer la mise a jour automatique des antivirus, mettre 
son veto a tel ou tel passe-droit dans le pare-feu. Cela s'appelle une politique de 
securite. 

Cette competence technique et son instanciation dans une politique de securite, 
il serait vain d'esperer en faire l'economie en lui substituant des procedures. II 
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ne manque pas de methodes qui laissent croire que que la securite des systemes 
d'information pourrait etre assuree par des routines administratives : nous avons 
signale et explique leur vanite a la fin du premier chapitre de ce livre. Nous dirons 
que ces methodes de securite sont procedurales, ou, plus crument, qu'elles sont 
bureaucratiques. 

Nous avons done le choix entre ces methodes bureaucratiques et celles que nous 
appellerons methodes de securite negative, parce qu'elles proposent de colmater 
les failles des que celles-ci sont decouvertes et d'interdire les malfaisances apres 
qu'elles se sont manifestoes : ni celles-la ni celles-ci ne sont satisfaisantes, nous 
l'avons vu. Nous preconiserons plutot celles qui visent ce que nous appellerons la 
securite positive, parce qu'elles posent a priori ce qui est sur, et qu'elles etablissent 
la securite a la conception des systemes, par la definition de ce qu'ils doivent faire 
et l'interdiction du reste selon une regie que nous enoncerons ainsi : « n'est permis 
que ce qui est explicitement permis, tout le reste est interdit ». 

Par exempe, a l'heure ou pratiquement toutes les applications informatiques sont 
fondees sur les techniques du Web, nous pensons, en suivant Marcus J. Ranum, 
qu'un outil de choix pour la securite positive est le mandataire applicatif (reverse 
proxy) : il s'agit d'un serveur Web specialise, qui recoit les messages du protocole 
HTTP, les filtre, rejette ce qui n'est pas autorise et reecrit les requetes avant de les 
transmettre au « vrai » serveur, ce qui elimine tout imprevu, et notamment toute 
une famille d'attaques par injection de code. Cette methode revient a ecrire sa 
propre version du protocole, adaptee exactement a ce que Ton veut faire. 

De facon generate, revolution de l'informatique, de ses usages, et par consequent 
des systemes d'information, est determined par l'offre de technologie plus que 
par les demandes des utilisateurs, parce que celle-la evolue plus vite que celles-ci. 
Pour des raisons evidentes, e'est encore plus vrai pour les questions de securite, 
parce que les utilisateurs ne « demandent » rien, et que l'« offre » est par definition 
destinee a surprendre ses « clients » par des attaques auxquelles ils ne s'attendent 
pas. La lutte contre cette « offre » un peu speciale ne peut done reposer sur les 
attentes du client, et la veille technologique « tous azimuts », si elle est necessaire, 
ne saurait pretendre a l'efficacite totale. Ce qui renforce 1' argument pour la securite 
positive. 

Pour toutes les raisons qui viennent d'etre enoncees, nous pouvons conclure en 
disant avec Bruce Schneier [100] que la securite du systeme d'information n'est pas 
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et ne peut pas etre contenue dans un dispositif ni dans un ensemble de dispositifs, 
quelle ne peut pas non plus etre contenue dans les limites temporelles d'un projet, 
mais qu'elle est un processus ou, si Ton veut, une activite. Nous entendons par la que 
les ingenieurs de securite du SI doivent se consacrer a cette activite, pas forcement 
a plein temps, mais en permanence, sur plusieurs fronts : veille scientifique et 
technologique, surveillance des journaux d'evenements, audit des infrastructures et 
des applications, sensibilisation et formation des utilisateurs, experimentation de 
nouveaux outils et de nouveaux usages. La demarche de securite doit etre active : la 
detection des failles et des attaques, et les reponses qui leur sont donnees, ne sont 
pas suffisantes, mais elles sont necessaires, parce qu'avec l'ubiquite de l'lnternet 
nous sommes entres dans une ere ou le regime de menaces est de basse intensite, 
mais les menaces sont permanentes. II faut savoir que parmi ces menaces certaines 
se realiseront, qu'il faut s'y preparer et apprendre a leur survivre, ce qui suppose 
que Ton y ait pense avant. 
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informatique 

Comprendre les menaces informatiques pour les juguler 

L'administrateur et le responsable informatique affrontent une insecurity informatique proteiforme et envahissante, 
qui menace tant les donnees que les applications de I'entreprise : virus, attaques par le reseau, tromperie sur le 
Web, etc. Bien des outils sont proposes pour y faire face, mais encore faut-il comprendre leur role et leur mode 
operatoire et les replacer dans le cadre d'une politique de securite efficace. On devra pour cela garder en tete les 
principes qui animent tout systeme d'information et chasser de dangereuses idees regues. 

Une approche systematique de la securite informatique 

Ecrit par le responsable de la securite des systemes d'information de I1NSERM, ce livre limpide expose les causes 
des risques inherents a tout systeme informatique - et les moyens de sen proteger. S'adressant aux administrateurs 
et responsables de systemes d'informations comme a leurs interlocuteurs, il offre au professionnel consciencieux des 
principes clairs et une methode rigoureuse pour concevoir une veritable politique de securite. 



Au sommaire 

PREMIERES NOTIONS DE SECURITE. Menaces, risques et vulnerability • Aspects techniques et organisationnels • Les CERT 
• Le management de la securite • Les differents volets de la protection du SI • Securite physique • Protection dans le 
systeme d'exploitation • Authentification • Failles et attaques sur les logiciels • Le mirage de la biometrie • Malveillance 
informatique • Types de logiciels • Formes de malveillance • Spam • Attaques via le Web et sur les donnees • Quelques 
statistiques • SCIENCE DE LA SECURITE INFORMATIQUE. La clef de uoute : le chiffrement • DES et RSA • Criteres de robus- 
tesse • Securite du systeme d'exploitation et des programmes • Le modele de protection Multics • Protection des sys- 
temes contemporains • Debordements de tampon • Securite par analyse du code • Separation des privileges dans le 
systeme • Architectures tripartites • Securite du reseau • Les reseaux prives virtuels (VPN) • Partage distant de 
fichiers • Securiser un site en reseau • Le systeme des DNS • Traduction d'adresses NAT • Promiscuite sur un reseau 
local • Reseau sans fil • Identites, annuaires, habilitations • Qu'est-ce que I'identite dans un monde numerique • PGP 
et signatures • Creer un reseau de confiance • Certificats • POLITIOUES DE SECURITE. Une charte des utilisateurs • Acces 
aux ressources et aux services • Regies d'utilisation, de securite et de bon usage • Confidentialite • Respect de la legis- 
lation • Preservation de I'integrite du systeme • Usage des services Internet (Web, messagerie, forums. . .) • Surveillance 
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SECURITE DU SYSTEME D'INFORMATION. Nouueaux protocoles, nouvelles menaces • Versatility des protocoles : encapsula- 
tion HTTP • Protocoles P2P (pair a pair ou peer-to-peer) : exemples de Kazaa et de Skype • Telephone IP • Tendances 
des pratiques de securisation des SI • Les six idees les plus stupides en securite selon Ranum • Les 50 prochaines 
annees, selon Alan Cox • Detection d'intrusion, inspection en profondeur • A qui obeit votre ordinateur? 
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A qui s'adresse cet ouvrage ? 

- Aux administrateurs de systemes et de reseaux, mais aussi aux DSI et aux responsables de projets 

- A tous ceux qui doivent concevoir ou simplement comprendre une politique de securite informatique 
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